WebDAV - Page 1

1

Le 26/09/2007 à 11:05

je savais pas trop ou mettre ça, mais bon.

Bref je suis en train de bricoler un accès webDAV à mon serveur (sur SSL, pas de souci d'authentification)

Y a t il un moyen rapide pour que les fichiers créés par le serveur appartiennent à l'utilisateur que je veux? parce que là, J'ai remarqué que les fichiers créés par Apache appartiennent à l'utilisateur du serveur

moi je voudrais qu'ils appartiennent à l'utilisateur unix qui a accès au dossier apache!

  <Directory /vhosts/https/www.unsads.com/dav>
                order deny,allow
                deny from all
        </Directory>

#ce dossier est un lien vers ailleurs
        <Directory /vhosts/https/www.unsads.com/dav/squalyl> 
                Options Indexes FollowSymLinks
                AllowOverride none
                order allow,deny
                allow from all
                DAV On
                AuthType Basic
                AuthName "DAV repository: squalyl"
                AuthUserFile /backed/web/auth/svn.htpasswd
                Require valid-user
                Require user squalyl
        </Directory>

1D86FN9
Nspire wiki
CONDUCTEUR Va-et-vient Des QUATRE MANCHE AVEC DES DIODES
La naissance de Boo en vrai

2

Le 26/09/2007 à 11:11

hmm en fait webDAV c'est pas vraiment fait pour monter un accès générique à des fichiers

voir http://www.webdav.org/mod_dav/install.html

1D86FN9
Nspire wiki
CONDUCTEUR Va-et-vient Des QUATRE MANCHE AVEC DES DIODES
La naissance de Boo en vrai

3

Le 26/09/2007 à 11:11

Seul root peut changer le propriétaire d'un fichier, non ?

<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

4

Le 26/09/2007 à 11:13Edité par Spipu le 26/09/2007 à 12:33

meme remarque... ca appartiendra forcement à l'utilisateur d'apache vu que c'est lui qui crée les fichiers...

Ancien pseudo : lolo

5

Le 26/09/2007 à 11:22

oui en fait c'est pas faisable.

Bref, ça permettra d'avoir un dossier perso, mais pas un accès complet à un $HOME.

1D86FN9
Nspire wiki
CONDUCTEUR Va-et-vient Des QUATRE MANCHE AVEC DES DIODES
La naissance de Boo en vrai

6

Le 26/09/2007 à 12:34

Il y a deux moyens : un cron (sous root) qui force toutes les 2 minutes les autorisations et les possesseurs des fichiers du ~ au possesseur dudit dossier (c'est ce que fait par défaut Mandriva en mode "pas moyen que tu fasses un pet de travers, ton serveur est tellement protégé que toi même tu ne peux rien faire"), ou un script php (ou n'importe quoi d'autre) (soit automatique, soit manuel) qui exécute une commande système en sudo (par contre, c'est vraiment pas conseillé au niveau sécuritaire - mais il y a des cas où c'est indispensable).

7

Le 26/09/2007 à 12:36

Mais si tu changes le proprio, tu ne pourras plus effacer les fichiers en passant par webdav, non ? ou alors il faut faire tourner apache en root

(tiens, du coup c'est le même pb pour les serveurs ftp, non ? )

<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

8

Le 26/09/2007 à 12:52

effectivement, joli idée le crontab, sauf qu'on peut plus virer les fichiers

autant faire un chmod o+w.
faire tourner apache en root, nan merci

les serveurs ftp sont pas chrootés et exécutés par un fork() avec l'util kivabien? je ferais ça, moi, si je devais en faire un.

1D86FN9
Nspire wiki
CONDUCTEUR Va-et-vient Des QUATRE MANCHE AVEC DES DIODES
La naissance de Boo en vrai

9

Le 26/09/2007 à 12:53

squalyl (./8) :
les serveurs ftp sont pas chrootés et exécutés par un fork() avec l'util kivabien? je ferais ça, moi, si je devais en faire un.

Ok, donc ça serait le mod_webdav d'apache qui serait moisi vu qu'il ne peut pas faire la même chose ? (c'est bien possible, apache n'a sûrement pas été conçu pour faire du webdav)

<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

10

Le 26/09/2007 à 13:02

voila, sans doute

dans ma config j'aimerais bien un dav-setuid machin et dav-setgid machin

mais en effet ça demande peut être que le serveur soit lancé en root, donc bof.

1D86FN9
Nspire wiki
CONDUCTEUR Va-et-vient Des QUATRE MANCHE AVEC DES DIODES
La naissance de Boo en vrai

11

Le 26/09/2007 à 13:08

tiens, ça a l'air de concerner ton problème : http://ask.slashdot.org/article.pl?sid=03/07/25/0045222

<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

12

Le 26/09/2007 à 14:09

wé, donc en gros c'est bien ce que j'avais suspecté. Bon ce sera scp alors

1D86FN9
Nspire wiki
CONDUCTEUR Va-et-vient Des QUATRE MANCHE AVEC DES DIODES
La naissance de Boo en vrai

13

Le 26/09/2007 à 15:12

Flanker (./9) :
squalyl (./8) :
les serveurs ftp sont pas chrootés et exécutés par un fork() avec l'util kivabien? je ferais ça, moi, si je devais en faire un.

Ok, donc ça serait le mod_webdav d'apache qui serait moisi vu qu'il ne peut pas faire la même chose ? (c'est bien possible, apache n'a sûrement pas été conçu pour faire du webdav)

=> En général, pour les serveurs ftp, tu as un serveur maitre qui accepte les connexions et forke un processus à chaque connexion. Lui tourne en root.
=> Le processus forké réalise la phase d'authentification de l'utilisateur, puis ce chroot lui même et enfin se supprime les accès root avec setuid/setgid.

Dans tous les cas pour faire ce genre de choses il te faut un maître qui conserve tous les accès. Donc pas faisable avec apache ^^

« Dream is destiny »

14

Le 26/09/2007 à 15:31

y a pas de maître avec apache ?

<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

15

Le 26/09/2007 à 15:34

c'est variable, et certainement pas configurable, vu que tu peux choisir un partage en threads, processus, etc...

1D86FN9
Nspire wiki
CONDUCTEUR Va-et-vient Des QUATRE MANCHE AVEC DES DIODES
La naissance de Boo en vrai

16

Le 26/09/2007 à 17:16

Sous Apache, si mes souvenirs sont bons, il y a un ensemble de processus à l'écoute du port (le système attribue les connexions à ceux qui sont en attente d'un accept()). Les processus réalisent le traitement eux-même sans forker, et tournent de base avec les droits de l'utilisateur apache.

Les droits root sont lachés dès l'initialisation en fait (juste après le bind sur le port 80). D'ailleurs, si tu mets ton apache en écoute sur un port > 1024, il n'a pas besoin d'être exécuté en tant que root.

« Dream is destiny »

17

Le 26/09/2007 à 17:18

Il y a quand-même ça: http://bluecoara.net/item24/cat5.html. Mais ça implique d'exécuter Apache en root.

Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

18

Le 26/09/2007 à 18:11

you have to compile and configure Apache2 with -DBIG_SECURITY_HOLE option.

Mort de rire le nom de l'option

Si avec ça le mec dit encore qu'il savait pas ...

« Dream is destiny »

19

Le 26/09/2007 à 18:12

La solution m'aurait intéressé, mais comme mon serveur est sous windows c'est mort de toute façon ^^

<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

20

Le 26/09/2007 à 18:23

En meme temps il doit y avoir des "serveur" webdav qui sont capable de gerer les droits de maniere correct... (apple le fait bien avec l'iDisk par exemple qui utilise WebDAV)

Proud to be CAKE©®™

GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

21

Le 26/09/2007 à 18:45

bah ué mais ça me ferait chier d'avoir deux serveurs sur le port 80

on peut s'en sortir avec un mod_proxy ptet... genre l'URL http blabla m'envoie sur un autre serveur...

1D86FN9
Nspire wiki
CONDUCTEUR Va-et-vient Des QUATRE MANCHE AVEC DES DIODES
La naissance de Boo en vrai

22

Le 26/09/2007 à 19:09

spectras (./16) :
Sous Apache, si mes souvenirs sont bons, il y a un ensemble de processus à l'écoute du port (le système attribue les connexions à ceux qui sont en attente d'un accept()). Les processus réalisent le traitement eux-même sans forker, et tournent de base avec les droits de l'utilisateur apache.

C'est marrant mais sur certains vieux serveurs, on a un httpd qui se forke à la demande (et ça nous pose d'ailleurs pas mal de soucis... certains forks restent à l'état de zombie en bloquant des sessions).

23

Le 27/09/2007 à 17:05

C'est possible, c'est comme ça qu'étaient faits les serveurs traditionnellement. Seulement ça pose problème avec des serveurs acceptant des charges importantes.
Tu peux encore forcer apache à travailler comme ça en jouant sur sa configuration (ou pire en le lançant avec inetd), mais c'est pas recommandé.

« Dream is destiny »

24

Le 27/09/2007 à 17:16

spectras (./23) :
(ou pire en le lançant avec inetd)

Tiens, je me demande si ce n'est pas comme ça qu'il est configuré... mais bon, c'est une blackbox (on attend qu'elle meure pour la changer, pour l'instant on évite de trop y toucher)