version-1-6 Lors de la procédure d'installation d'une application web supplémentaire, il est nécessaire de savoir quels sont les droits d'accès à utiliser, afin de sécuriser au mieux votre système.
Répertoire /var/www/intranet
Ce répertoire est le point d'ancrage de toutes les applications Web. À chaque nouvelle installation, il sera indispensable de désarchiver l'application dans ce répertoire. En effet, le serveur Web est configuré pour lire le contenu de ce répertoire et le mettre en ligne, tout cela de manière automatique, afin d'éviter que l'utilisateur ait à modifier lui-même la configuration d'Apache.
Le répertoire /var/www/intranet/ est configuré avec les droits suivants :
drwxrwxr-x 4 root webmestres 4096 2007-01-15 15:08 intranet
Ce qui veut dire que :
- L'utilisateur root a tous les droits sur ce répertoire : rwx
- Les membres du groupe webmestres ont tous les droits également : rwx
- Le reste du monde n'y a accès qu'en lecture seule : r-x
Ce qu'il faut donc comprendre c'est que si l'utilisateur qui cherche à installer l'application Web n'est pas root, ou ne fait pas partie du groupe webmestres, il ne pourra rien installer dans ce répertoire.
Pour en savoir plus sur la façon d'ajouter un utilisateur dans un groupe, se référer à cette page.
Le répertoire de l'application
Installer une application Web revient simplement à décompresser une archive contenant le répertoire complet de l'application. Lorsqu'un utilisateur lambda, membre du groupe webmestres, effectue cette opération, le répertoire ainsi généré obtient les droits suivants :
- Propriété du répertoire : Appartient à l'utilisateur lambda et aux membres du groupe principal dont ils font partie, généralement “enseignants”.
- Droits du répertoire :
- rwx pour l'utilisateur
- r-x pour les membres du groupe propriétaire
- r-x pour le reste du monde.
Les premières opérations à faire sont les suivantes :
Modification des droits du répertoire
chmod -R g+rwx le_répertoire
Cette manipulation permet de donner tous les droits aux membres du groupe propriétaire du répertoire (pour l'instant, le groupe “enseignants”)
Modification de la propriété du répertoire
Il s'agit ici de réattribuer la propriété aux membres du groupe webmestres, de manière à restreindre l'accès à ce répertoire qui pourrait contenir des données sensibles (comptes administrateurs, mots de passe, …)
- Pour le répertoire principal et son contenu
chown -R lambda:webmestres le_répertoire
- Pour les répertoires nécessitant un accès en écriture pour www-data
chown -R lambda:www-data le_répertoire_écriture
De cette façon :
- L'utilisateur propriétaire a tous les droits sur le répertoire;
- Les membres du groupes webmestres ont tous les droits également;
- Pour certains répertoires, les membres du groupe www-data (à savoir uniquement l'utilisateur www-data) ont tous les droits
- Dans tous les cas, le reste du monde n'a les droits qu'en lecture seule sur tout le répertoire.
Liens externes
Pour en savoir plus sur l'utilisation des droits d'accès sous Unix - Gnu/Linux :
- http://www.tuteurs.ens.fr/unix/droits.html : excellent site de documentation sur le système UNIX.