Sécurité : utilisation open_basedir et migration dossier /images

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Sécurité : utilisation open_basedir et migration dossier /images

    Hello,

    J'avoue ne pas être hyper familié avec l'usage ou non de la variable open_basedir dans la conf php pour Joomla et surtout l'implication/impact que cela peut avoir sur les différentes extensions.
    Je sais qu'il vaut mieux (dans l'absolu) sortir le dossier /images et voire même les dossiers /cache et/ou /tmp, /media du répertoire www qui contient le site mais cela ne semble pas simple.

    Du coup avez-vous déjà testé de les déplacer?
    Votre avis et retours d’expériences?
    Et pour la variable open_basedir , mieux vaut-il la laisser vide ou y spécifier un chemin?

    Merci et bonne journée
    Laurent
    Expert en conception et réalisation de sites Internet 100% Joomla
    www.toonetcreation.com

  • #2
    étant donné qu'il y un seul php.ini pour tous les sites hébergés, la seule solution que je vois serais d'ajouter dans chaque vhost apache ou nginx, une directive de ce style :

    Code HTML:
    <IfModule mod_php5.c>
    php_admin_value open_basedir /var/www/vhosts/mon_site/www/
    </IfModule>
    je suis dans le vrai?
    Expert en conception et réalisation de sites Internet 100% Joomla
    www.toonetcreation.com

    Commentaire


    • #3
      Bonjour

      >Je sais qu'il vaut mieux (dans l'absolu) sortir le dossier /images

      Ah non pas du tout !

      Tout qui doit être accessible depuis une URL *doit* être dans /www. Sinon comment ferait ton site lorsqu'il recevra une requête http tonsite/images/logo.png ?

      >et voire même les dossiers /cache et/ou /tmp,

      Oui, mieux car ces dossiers n'ont pas pour vocation d'être accessible par URL ... sauf que parfois, certains composants font quand même des requêtes URL vers /tonsite/cache/xxxx

      Mais oui oui oui pour /tmp qui peut être mis ailleurs et si et seulement si les scripts utilisés acceptent que /tmp soient ailleurs (càd certains scripts mal conçus "pensent" que tmp est dans JRoot().'/tmp' ce qui est une erreur de conception). Si tu déplaces; peut-être vas-tu casser ces composants-là.

      > /media du répertoire www qui contient le site mais cela ne semble pas simple.

      Comme /images : il faut les laisser dans /www.

      >Et pour la variable open_basedir , mieux vaut-il la laisser vide ou y spécifier un chemin?

      Tu confonds je pense... open_basedir est une clause qui dit "si jamais un script PHP sur mon site tente d'accéder à un dossier ../../../../blablabla càd un dossier se trouvant au-dessus de /www paf!, je lui interdis.

      Tu aurais alors open_basedir=/mon_user/www (p.ex.) càd le fullpath de ton dossier /www qui serait spécifié.

      .... et cela ne fonctionnera que pour les hébergeurs qui supportent open_basedir ce qui n'est pas le cas de tous.

      Donc, voilà, open_basedir, c'est un chouette concept mais pas toujours simple à mettre en oeuvre.
      Christophe (cavo789)
      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

      Commentaire


      • #4
        Hello,

        Merci pour ta réponse, tu as raison j'ai mélangé quelques concepts.

        Ok pour les répertoire, j'ai bien noté.
        Pour /images j'avais vu ça je sais plus ou et j'avoue que j'en étais pas certain.
        Maintenant oui en effet cela parait plus logique qu'il soit sous /www
        Pour /tpm ok la pas de surprises.

        Pour open_base dir si l'hébergeur le supporte ou que l'on fait de l'auto-hébergement sur un serveur dédié ou autre peu importe, dans la mesure ou il y a X sites sur le serveur, on ne peut pas généraliser cette variable pour tous les sites non?
        Puisque chaque site étant isolé, la modif du vhost s'impose non?

        Question bonus : que penses-tu en terme de sécurité, d'isoler chaque site via du docker au lieu d'utiliser un user unix sous /home/... ? est-ce pertinent, ou gain négligeable ?

        Merci
        Expert en conception et réalisation de sites Internet 100% Joomla
        www.toonetcreation.com

        Commentaire


        • #5
          Ma compétence sysadmin Unix est, euh ?, les jours ne sont pas assez longs pour faire tout ce que j'ai envie d'apprendre et ma foi, sysadmin est un truc que je laisse bien volontier aux autres ;-)
          Christophe (cavo789)
          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

          Commentaire


          • #6
            ok noté je vais essayer de creuser ;-)
            Expert en conception et réalisation de sites Internet 100% Joomla
            www.toonetcreation.com

            Commentaire


            • #7
              Bonjour,
              Trouvé sur Google : http://mon-serveur.anael.eu/doku.php...n_open_basedir

              Cordialement,
              Chabi01 - http://www.xlformation.com

              Commentaire


              • #8
                Envoyé par chabi01 Voir le message
                Bonjour,
                Trouvé sur Google : http://mon-serveur.anael.eu/doku.php...n_open_basedir

                Cordialement,
                Merci -
                Expert en conception et réalisation de sites Internet 100% Joomla
                www.toonetcreation.com

                Commentaire

                Annonce

                Réduire
                Aucune annonce pour le moment.

                Partenaire de l'association

                Réduire

                Hébergeur Web PlanetHoster
                Travaille ...
                X