Quels droits pour admin serveur ftp

[pouloupoupo]

Salut à tous
Tous mes sites sont dans un dossier www/ avec chmod 750.
Pour donner un accès ftp à un utilisateur je mets son dossier chown user:www-data
Comme ça il est propriétaire de son site et apache qui fait parti du groupe www-data à accés aux fichiers

Comment puis-je faire pour créer un admin ftp qui aurait tous les accès sur le dossier www/ et autre que root?
Je ne vois pas, je suis pas encore à l'aise avec les droits

Merci pour vos eclaircissements

[pouloupoupo]

Je précise pour espérer avoir une réponse
mes sites sont en www-data:www-data
je peux donc me connecter en ftp compte www-data pour éditer mes fichiers
Mais si je mets mon client proprio de son dossier je n'ai plus les droits de modifications
Quelle est la meilleur solution passer en 775??

Merci

[Julia41]

Je ne suis pas sûr d'avoir suivi ta question, mais généralement, c'est :
user:user pour les perms.
Apache a le droit de lire (il n'est ni groupe, ni user, donc ton chmod doit se terminer par 4).
généralement, un 604 est très bien. L'user (FTP donc) a le droit de lire et d'écrire (mais pas d'executer), le group n'a pas de perm (il les a déjà en user) et apache (other) a le droit de lire les fichiers mais pas de les écrire.

Je stocke mes sites comme toi /home/<nom de l'user>/www/
et il n'y a que l'user qui a les permissions d'écrire des fichiers.

Donc je dirais 604 pour les fichiers et les dossiers sauf s'il y a de l'upload, dans ce cas là, le dossier doit être en 706, mais ça généralement, c'est à l'user de décider pas à toi si tu ne fais que leur offrir/fournir un FTP/Hébergement.

[pouloupoupo]

Ok merci ça répond déjà un peu à ma question
Donc apache à juste besoin de lire pas d'éxecuter ok pour le 4
et donc tu mets quels groupe? peu importe je devine?
Et surtout comment créer un compte qui peut tout modifier en ftp autre que root?

Merci d'avance

[Julia41]

Ok merci ça répond déjà un peu à ma question
Donc apache à juste besoin de lire pas d'éxecuter ok pour le 4
et donc tu mets quels groupe? peu importe je devine?
Et surtout comment créer un compte qui peut tout modifier en ftp autre que root?

Merci d'avance

Déjà je sais toujours pas si tu es sur dédié.
Perso je fais :

Code: Tout sélectionner

adduser toto #ça me demande un pass

ça créé aussi un dossier /home/toto et toto est à la fois propriétaire en tant qu'user et que group.
Le groupe propriétaire de toto est aussi toto. Ca créé un couple user:group au nom de l'user. Il a donc toutes les perms dessus.

Au final, toto pourra lire/écrire/supprimer les fichiers (donc en FTP) et apache pourra lire si tu as mis les bonnes permissions.

[pouloupoupo]

Oui je suis sous dédié
Je stocke dans /var/www donc j'ai juste à mettre l'option adduser -d pour changer le dossier
Mais je ne vois toujours pas comment créer un compte ftp qui pourrait modifier tous mon /var/www?

[Julia41]

Oui je suis sous dédié
Je stocke dans /var/www donc j'ai juste à mettre l'option adduser -d pour changer le dossier
Mais je ne vois toujours pas comment créer un compte ftp qui pourrait modifier tous mon /var/www?

Tu n'auras pas de compte FTP pouvant modifier /var/www/ en récursif à moins qu'il en ait les permissions et après on en revient au sujet des chmod non sécurisés.
Ton user "toto" : /var/www/toto/
créé un fichier php qui modifie le fichier ../tata/index.php (un autre user) et le tour est joué. Sachant que si Apache est owner, tu auras justement ce soucis.

Si tu veux pouvoir administrer tous les sites de tes clients simplement d'un seul coup, pourquoi tu n'utilises pas winscp, ça passe par SSH, c'est donc déjà bien plus sécurisé, et tu te connectes, comme en SSH, en root.

[pouloupoupo]

Je travaille déjà en ssh mais pour modifier un fichier php avec filezilla c'est quand même plus pratique
et je cherche le moyen de créer un compte administrateur de tout mon dossier ftp ave filezilla

[Julia41]

Je travaille déjà en ssh mais pour modifier un fichier php avec filezilla c'est quand même plus pratique
et je cherche le moyen de créer un compte administrateur de tout mon dossier ftp ave filezilla

Avec winscp, tu doubles clics sur ton fichier php, il s'ouvre directement dans ton éditeur favoris (notepad ++ pour ma part en le configurant correctement), après tu fais Ctrl + S (save) dans ton éditeur, et le fichier est sauvegardé automatiquement sur ton serveur.

Ta technique pourrait être de créer un user "www" et de changer ta conf d'apache un peu (et les perms des logs/cache/etc..) (pas www-data), et de tout mettre dans le home, après tu mets les users dedans, mais je trouve cette technique pas très sécu.
Quand tu te prendras le trojan qui frappe tous les filezilla, tu comprendras que c'était pas très bien d'avoir accès à tout d'un coup.

[pouloupoupo]

J'ai déjà essayé winscp mais j'ai pas l'habitude de travailler avec
J'avais pas pensé qu'il serait aussi simple que filezilla et dans ce cas je vais m'y mettre
J'ai déjà eu à faire à ce trojan

Le pb c'est que je bloque le root login de ssh donc j'ai pas les droits nécessaires et j'ai pas trop envie de modifier apache

T'as pas peur du bruteforce ssh?

[Julia41]

J'ai déjà essayé winscp mais j'ai pas l'habitude de travailler avec
J'avais pas pensé qu'il serait aussi simple que filezilla et dans ce cas je vais m'y mettre
J'ai déjà eu à faire à ce trojan

Le pb c'est que je bloque le root login de ssh donc j'ai pas les droits nécessaires et j'ai pas trop envie de modifier apache

T'as pas peur du bruteforce ssh?

Tu peux installer fail2ban ou encore mieux, autorisé le login uniquement par clé SSH, et aussi changer de port, ou alors faire les 3

ça va pas être "aussi simple" que filezilla, ça va être 10 fois mieux.

-http://winscp.net/eng/docs/task_edit

[salva]

J'ajouterais qu'avec winscp tu peux travailler en multi compte en conservant les droits respectifs de chaque compte (toto, tata,... et même root), le tout dans la même fenêtre.

[pouloupoupo]

Tu peux installer fail2ban ou encore mieux, autorisé le login uniquement par clé SSH, et aussi changer de port, ou alors faire les 3

ça va pas être "aussi simple" que filezilla, ça va être 10 fois mieux.

-http://winscp.net/eng/docs/task_edit

Je le fais déjà !
J'ai fais un rm -rf à la racine de mon dédié y a qq jours donc un compte ftp administrateur autre que root m'intéresse doublement
Pour l'histoire de filezilla et le trojan ça concerne windows mais linux??? Bref... Je vois toujours pas comment créer un compte ftp administrateur autre que root

[Julia41]

Je le fais déjà !
J'ai fais un rm -rf à la racine de mon dédié y a qq jours donc un compte ftp administrateur autre que root m'intéresse doublement
Pour l'histoire de filezilla et le trojan ça concerne windows mais linux??? Bref... Je vois toujours pas comment créer un compte ftp administrateur autre que root

Si tu fais le même genre de "bétise" qu'un rm -rf dans ton compte "ftp admin" tu bousilles tous tes sites. Ce genre de bétise peut arriver à tout le monde, mais les backups sont là pour ça. Ta solution est un peu "anti linux" qui a bien compris comment séparer les droits utilisateur du superutilisateur (root).
Donc pour ta solution, la seule chose "viable" que je vois est un couple utilisateur/group www:www.
Tu chown en user:www tes clients, et tu mets apache tournant en www.
Bon, niveau sécu, je suis pas sûr que ça soit le mieux et après ça va poser divers problèmes (rotation des logs qui rajoutent du chown dedans etc... C'est un peu de taff à la main).