Les droits d'écriture, de lecture et d'exécution.

#1
On a l'habitude de dire qu'on doit attribuer par FTP les droits 644 à un fichier et 755 à un dossier.
En fait, le serveur mutualisé de Planethoster ne semble pas utiliser de groupe. Donc, on pourrait très bien utiliser les droits 604 pour un fichier et 705 pour un dossier. Si un pirate pénètre le système avec un droit de groupe, il n'aura accès à rien, ni en lecture ni en écriture.

On peut aller plus loin. Protégeons les parties sensibles de votre blog, forum, cms, gallery, wiki, comme le fichier config.php et .htaccess en lui donnant les droits 404. Personne ne pourra le modifier, même pas vous (c'est faux dans l'absolu si votre site a un gros trou de sécurité, mais imparable contre une attaque automatique). Vous ne pourrez le faire que par FTP quand vous aurez vraiment besoin de le modifier.

Voilà comment je protège mon site:
- Tous les fichiers ont les droits 404
- Tous les dossiers ont les droits 505.
- Si un fichier ou un dossier nécessitent des droits d'écriture par le serveur mettez 604 pour le fichier et 705 pour le dossier. Chez Planethoster ça marche. Inutile de faire le fameux 777 (tous les droits à tout le monde). D'ailleurs Planethoster interdit les chmod en 777, il bloque le dossier qui a ce paramètre.
- Les fichiers config et htaccess ont des droits 404
- Le dossier "html_www" doit être en chmod 705, ne le changez jamais.

Avantage: personne ne peut modifier vos fichiers. Inconvénient: il faut changer les droits en écriture (604 et 705) si vous faites une mise à jour de votre blog, forum, cms, gallery, wiki et remettre les bons droits 404 et 505 après. Cela prend 10 min., mais ça vaut la peine.

Pourquoi est-ce si important: le pirate essaye d'installer un fichier sur votre site afin d'en prendre le contrôle (pour effacer le site, y placer un script qui envoie du spam, etc.). Il cherche des trous de sécurité pour pouvoir uploader son fichier de prise de contrôle. Si votre site a un trou de sécurité, le pirate l'exploitera, mais comme votre site web n'a que des dossiers et fichiers interdits en écriture, il ne pourra rien uploader. Son attaque ne marchera pas.
 

daf

Member
#3
Juste une question...
- Le dossier "html_www" doit être en chmod 705, ne le changez jamais.
Est-ce du dossier "public_html" que vous parlez ? Le mien a les droits 755, peut-on les changer en 705 ?
Quant à son alias "www" il est carrément en 777...
 
#4
Bonjour,

Pour ma culture personnelle, d'où avez-vous entendu parlé d'une faille par droit de groupe ? J'ai beau chercher, je ne trouve pas.
Ça marche si par hasard le fichier appartient au niveau groupe à un groupe partagé entre utilisateurs, mais dans le cas des hébergements mutualisés ce n'est pas le cas, si ? Chaque fichier a pour owner user.useruser est notre identifiant... Et je doute que root ou n'importe quel user system ne le possède modulo ma question pécédante...

Merci par avance.
 
Haut