Chmod et le site qui affiche is smaller than min_uid !!!
sebastienj
16/09/2009, 10h25
Bonjour,
J'avoue que j'ai découvert le monde du dédié il n'y a que 3 mois de cela, je vous demande donc votre indulgence :-)
Je viens de suivre attentivement cette conversation très intéressante.
Le sujet m'intéresse car j'ai à peu près les même questions :
Quand vous dite que OVHM fait tout, je remarque que l'espace utilisateur alors créé tombe en erreur avec ce fameux message d'erreur : (...) is smaller than min_uid Donc il s'agit de faire quelque chose...
Cela veut dire alors qu'OVHM ne crée pas exactement les dossiers dans le bon groupe parce qu'une fois la commande chown -R utilisateur:users /home/..../ exécuté tout marche nickel?
SAUF QUE : cet utilisateur a alors accès à tout mon serveur et pas uniquement à son dossier d'utilisateur...
Donc ma question est : Peut-on modifier les paramètre par défaut du script qui crée un utilisateur sous OVHM afin qu'il soit directement utilisable et qu'il n'ai accès qu'a son dossier personnel ? Ou alors, comment modifier le groupe de base auquel OVHM l'associe ?
dans ce cas il faut lire et consulter AVANT de chmoder et changer!
Angie
alex2323
10/07/2008, 21h25
merci angy.
mais c'est aussi pour comprendre .savoir comment ca marche reellement
Mais qu'est ce que vous faites et dites?
Chowner en root des pages web .... chmodez les en 777 tant qu'on y est:
'au moins ca marche .... '
N'oubliez pas que beaucoup de gens lisent ensuite ces messages ici et recopient ces betises et 3 jours plus tard ils se trouvent hacker.
C'est pas cool de réparer des trucs suite à ce genre de threads comme celui ci.
Soit vous prennez une release OVH et vous utilisez OVHm, soit vous prennez une distribution brute et vous installez tout.
alex2323: quand tu install ton domaine via ovhm, celui ci crée un user pour toi!
SuexecUserGroup stage3 users dans ton virtual host.
C'est donc simple: chown stage3:users /home/stage3.
Une release est simple:
elle install la zone dns
les mails
le loggin ftp
le dossier /home/loginftp
la base sql ( au choix )
php4 ou php5 au choix.
Tu n'as rien d'autre a faire que uploader tes fichiers avec le ftploggin et le pass que tu as défini sur ovhm.
Pourquoi tu chmod et chown dans tout les sens?
Ton serveur marche quasi tout seul, pourquoi tout changer?
Angie
alex2323
09/07/2008, 22h53
au lieu de cette syntaxe:
useradd -g www-user USERNAME -d /home/USERNAME -m -s /bin/false
j'aimerais modifier en ssh par exemple www-user avec /bin/bash
connaissez vous la syntaxe?
Envoyé par
alex2323
la demarche de mamat me semble le plus sécurisé .je vais suivre ses conseils
Bonne chance, c'est toujours mieux ça que tout chowner en root..
alex2323
09/07/2008, 21h23
Envoyé par
mamat
moi j'ai fait un groupe (je l'appelle www-user) pour les users qui ont un site web avec un gid élevé, par ex 20000
je créé les users comme ca :
useradd -g www-user USERNAME -d /home/USERNAME -m -s /bin/false
ce qui me donne un /etc/passwd comme ca :
user1:x:20001:20000::/home/user1:/bin/false
user2:x:20002:20000::/home/user2:/bin/false
user3:x:20003:20000::/home/user3:/bin/false
etc ...
(/bin/false = pas de shell)
avec min_uid=20000 et min_gid=20000 dans suphp.conf
comme ca seulement ces users peuvent executer des scripts php et seulement avec leurs droits a eux
il y a aussi l'option check_vhost_docroot=true pour empecher un user d'executer un script qui n'est pas dans son repertoire home
la demarche de mamat me semble le plus sécurisé .je vais suivre ses conseils
Envoyé par
alex2323
c'est vraiment obligatoire d'installer suExec?
Non pas du tout.
Envoyé par
tdcmystere
à côté de la plaque...
Mais au moins ca marche
Heureusement que tout le monde ne raisonne pas comme toi .
alex2323
09/07/2008, 19h59
Envoyé par
foxyfox
Tu penses à la sécurité quand tu postes ce genre de message?
Je ne critique pas, je te remet dans un contexte où la sécurité est une question vitale, on l'a vu avec Bind récemment.
Il faut réfléchir à deux fois avant de dire des choses à côté de la plaque...
c'est vraiment obligatoire d'installer suExec?
tdcmystere
09/07/2008, 19h59
à côté de la plaque...
Mais au moins ca marche
Envoyé par
tdcmystere
foxyfox au lieu de critiquer tu aurais pus corriger et pas chercher de miseres a chaque mon poste
Tu penses à la sécurité quand tu postes ce genre de message?
Je ne critique pas, je te remet dans un contexte où la sécurité est une question vitale, on l'a vu avec Bind récemment.
Il faut réfléchir à deux fois avant de dire des choses à côté de la plaque...
tdcmystere
09/07/2008, 19h26
foxyfox au lieu de critiquer tu aurais pus corriger et pas chercher de miseres a chaque mon poste
Envoyé par
alex2323
tu m'inquietes là.Encore faut t'il que le hacker soit en root .et ca je sais pas si c'est facile
Pas besoin, il exécute ses commandes par la faille trouvée
alex2323
09/07/2008, 18h33
tu m'inquietes là.Encore faut t'il que le hacker soit en root .et ca je sais pas si c'est facile
Envoyé par
alex2323
explike moi comment tu peux hacker les parametres de tdcmystere
C'est simple, les fichiers ont été chowner en root, donc ils ont tous les droits d'exécution sur la machine, une personne peut si il est malin ( mais tout le monde sait que oui ) aller trouver une faille sur n'importe quel script php ou logiciel écrit en php qui lui permetterait d'executer toutes les commandes qu'il veut.
Vous ne vous demandez jamais pourquoi suExec existe?
Vraiment, TDC donne des informations bidons la plupart du temps, il faut faire attention si vous ne voulez pas que votre machine devienne une usine à gaz.
Il ne faut jamais prendre ces problèmes à la légère, même pour une machine hébergeant que un blog perso de 20 visiteurs par mois!
alex2323
09/07/2008, 17h53
explike moi comment tu peux hacker les parametres de tdcmystere
Envoyé par
tdcmystere
moi je me suis pas cassee la tete plus que ca, simplement apres un rajout de domaine je change le proprietaire
chown root:root httpdocs et tout passe niquelle
Oui et c'est le meilleur moyen de se faire hacker
File-moi ton IP pour que je la banne sur toutes les machines que je gère.
tdcmystere
09/07/2008, 16h48
moi je me suis pas cassee la tete plus que ca, simplement apres un rajout de domaine je change le proprietaire
chown root:root httpdocs et tout passe niquelle
alex2323
09/07/2008, 14h26
release 2
nom de domaine installé avec ovhm
dans httpd.conf voilà ce que j'ai :
SuexecUserGroup stage3 users
Hello,
contre question:
quel est ta distribution, comment as tu installer ton domaine.
Quel est l'user pour ce dossier dans le httpd.conf ?
Angie
alex2323
09/07/2008, 13h46
et tu dois quel droit chmod à www-user?
dans ton exemple le groupe www-user peut faire koi?
moi j'aimerais surtout protéger mes repertoires contre les hackeurs
moi j'ai fait un groupe (je l'appelle www-user) pour les users qui ont un site web avec un gid élevé, par ex 20000
je créé les users comme ca :
useradd -g www-user USERNAME -d /home/USERNAME -m -s /bin/false
ce qui me donne un /etc/passwd comme ca :
user1:x:20001:20000::/home/user1:/bin/false
user2:x:20002:20000::/home/user2:/bin/false
user3:x:20003:20000::/home/user3:/bin/false
etc ...
(/bin/false = pas de shell)
avec min_uid=20000 et min_gid=20000 dans suphp.conf
comme ca seulement ces users peuvent executer des scripts php et seulement avec leurs droits a eux
il y a aussi l'option check_vhost_docroot=true pour empecher un user d'executer un script qui n'est pas dans son repertoire home
alex2323
09/07/2008, 12h00
Envoyé par
mamat
suphp te permet d'executer les scripts php avec les droits du user auquel le script appartient (et non pas en tant qu'utilisateur apache) si ce user a un uid supérieur à min_uid défini dans /etc/suphp/suphp.conf (et aussi gid > min_gid)
par ex si min_uid= 500 et que le fichier appartient à root (uid=0) alors il refuse d'executer le script et tu as le message d'erreur "smaller than min_uid"
si ton script appartient au user toto (uid=1000) c'est ok
tu peux voir les uid/gid des users dans /etc/passwd :
user:x:uid:gid:...
merci mamat
je commence à comprendre.y a t'il un tuto pour la gestion des min_uid uid/gid
en gros comment vous faites pour gérer les utilisateurs sur vos serveurs
suphp te permet d'executer les scripts php avec les droits du user auquel le script appartient (et non pas en tant qu'utilisateur apache) si ce user a un uid supérieur à min_uid défini dans /etc/suphp/suphp.conf (et aussi gid > min_gid)
par ex si min_uid= 500 et que le fichier appartient à root (uid=0) alors il refuse d'executer le script et tu as le message d'erreur "smaller than min_uid"
si ton script appartient au user toto (uid=1000) c'est ok
tu peux voir les uid/gid des users dans /etc/passwd :
user:x:uid:gid:...
tdcmystere
09/07/2008, 10h19
non c est dans php.ini /etc
la tu a la possibilite de le modifier si bien sur tu utilise comme moi le suphp
alex2323
09/07/2008, 10h18
j'ai trouvé le fichier dans
./usr/local/etc/suphp.conf
mais je ne vois pas d'info de users qui serait supérieur
ce message d'erreur vient de suphp je pense
le uid de root est inférieur à celui défini dans /etc/suphp/suphp.conf
alors que celui de users est supérieur
alex2323
08/07/2008, 16h38
bonjour
j'ai un peu de mal à comprendre les droits chmod
sur un de mes sites j'ai mis
usager/proprietaire
groupe:root
droit 755 pour les répertoires et sous répertoire
le site s'affiche pas et j'ai cette erreur
"is smaller than min_uid"
par contre si je mis
usager/proprietaire
groupe:users
droit 755 pour les répertoires et sous répertoire
j'arrive à voir le site .Par contre j'ai pas droit de modifier les fichier en passant par ftpprof
c'est absolument bizarre .je comprends rien .
comprenez vous quelque choses ?
