Installation de phpBB

[Cool34000]

Bonjour,

Je viens d'installer le forum phpBB sur mon SME7 et étant débutant en terme de sécurité sur les sites web j'aurai voulu votre avis/retour d'expérience.

Avant de commencer, je tiens à préciser que le site semble fonctionner correctement (je n'ai pas testé les avatars et quelques autres détails...). Ma démarche est donc restreindre au minimum les droits d'accès et ce, à tous les niveaux !!!
Le but ultime sera de rassembler tout cela dans un script pour installer automatiquement phpBB. J'ai déja pas mal avancé...


Ayant voulu faire les choses correctement, j'ai donc installé mon site dans /opt/phpbb et créé un template rien que pour lui

Code: Tout sélectionner

# phpBB
Alias /forum /opt/phpbb
<Directory /opt/phpbb>
AddType application/x-httpd-php .php .php3 .phtml
Options Indexes
AllowOverride all
order deny,allow
deny from all
allow from all
</Directory>



Ma 1ère question donc, ce template est-il correct ou ai-je donné trop de droits ?
Je ne suis vraiment pas familier avec ce qu'un tel paramétrage peut impliquer ! Néanmoins, il me semble apres avoir observé d'autres templates que cela devrait être correct... Ou presque !
Comme vous pouvez le constater, j'ai décidé de ne pas utiliser d'authentification ou mode https, pour un forum cela me semble acceptable !


Ensuite, je crée la base et l'utilisateur mysql (dans un script) :

Code: Tout sélectionner

mysqladmin -u root create phpbb
mysql -e " grant all privileges on phpbb.* \
      to 'phpbb'@'localhost' \
      identified by '$phpbbpass' "
mysqladmin flush-privileges


(La variable $phpbbpass est générée aléatoirement)
Et la, 1ère grosse question : l'utilisateur a TOUS les droits sur sa base de données... Quel est le minimum syndical à appliquer ici
Quels sont les risques de mettre ces paramètres ? Je sais que c'est mal (c'est écrit partout !!!) mais je ne sais pas pourquoi et ce que ca implique


Enfin, au niveau des droits je rend apache entièrement propriétaire des lieux :

Code: Tout sélectionner

chown -R www:www /opt/phpbb

Au niveau des droits d'accès, j'ai constaté un CHMOD de 0644 sur tous les fichiers et un CHMOD de 0755 sur tous les dossiers.

Donc la aussi, grosse question... Apache propriétaire c'est... mal ? Oui/non, pourquoi ???
Enfin pour terminer ma série de questions (qui vont paraitre décidément bien tordues ) un CHMODage (pardonnez l'expression !) plus sérré serait-il de rigueur ? Si oui, lequel ?



Merci par avance de vos réponses !

[Cool34000]

Après avoir testé plusieurs paramètres, le site reste toujours fonctionnel avec les paramètres suivant (je me suis basé sur les quelques contribs que j'ai dans /opt, à savoir myadmin de mastersleepy, roundcube et torrentflux de dungog, phpsysinfo).

Pour le propriétaire des lieux, j'ai remis root:root, il semblerait que phpbb n'ai pas besoin d'un autre utilisateur/groupe ! Ca ressemble donc déja un peu plus à ce que font les autres (plus expérimentés que moi)

Code: Tout sélectionner

chown -R root:root /opt/phpbb

Ensuite, pour les droits (CHMOD) j'ai laissé 0644 pour tous les fichiers, y compris le fichier config.php qui doit être lisible par certains scripts.
Le dossier /opt/phpbb/images/avatars a été CHMODé correctement pour autoriser l'envoi d'avatar :

Code: Tout sélectionner

chmod 777 /opt/phpbb/images/avatars

Enfin pour les droits sur la base de données, j'ai enlevé quelques droits visiblement superflus. N'ayant pas trouvé les pré-requis pour la configuration de l'utilisateur mysql, j'ai simplement mis les mêmes droits qu'avaient octroyés mes autres CMS à leurs utilisateurs&bases respectives...

Code: Tout sélectionner

   mysql -e " grant select, insert, update, delete, create, drop on phpbb.* \
         to 'phpbb'@'localhost' \
         identified by '$phpbbpass' "


C'est déja mieux qu'un grant all privileges


Visiblement ca fonctionne toujours, j'attends vos commentaires ou vos conseils...

[fraedhrim]

Salut,

Peut-être une question idiote mais pourquoi n'as-tu pas créé une ibay pour mettre ton phpbb dedans plutôt que de faire une root ailleurs (ce qui sort du concept de la SME) ?

A+

[Gaston]

Salut,
parce qu'il a suivi les conseils avisés sur Contribs

Il est plus sécurisant de mettre son application là ou c'est prévu et de faire la config pour gérer l'utilisation des ressources par là, plutôt que d'utiliser une zone de "non droit" où l'on est obligé d'apporter des droits d'exécutions qui peuvent mettre en cause son système.
Enfin bon moi c'est ce que j'ai compris

G.

[fraedhrim]

Comme quoi ce n'était pas une question idiote ! Mal renseignée mais pas idiote ! Hein ? Dites....
Le terme de non droit est peut-être un peu fort pour les ibays mais il est vrai que si on ne veut pas que ça soit ouvert aux quatres vents dès qu'on ouvre un peu faut jouer aux templates....

A+

[Cool34000]

J'ai effectivement suivi les conseils des anciens de contribs.org... Je me suis même fait remonter les bretelles (cf ce sujet) J'en ai encore honte

L'apprentissage est parfois rude ! Mais tant que le schmilblik avance...

Un conseil pour ce CMS ? La documentation est plus qu'évasive à ce sujet : ca parle de CHMOD 644 pour tous les fichiers, au niveau des droits pour l'utilisateur mySQL c'est le désert total !

[fraedhrim]

Hop !

Je dois être encore plus neuneu que d'habitude (ou alors c'est l'enchainement de $%#&! qui me noie mon neurone) mais je n'arrive pas à voir le risque à mettre une webapp dans une ibay ? Tant que l'accès FTP est fermé et que l'accès Samba est limité à admin.
On ne peut pas remonter au-dessus de la root de l'ibay, le phpbasedir est sur la root (ou modifiable)...

Je veux bien prendre une leçon là-dessus parce que ça dépasse mon niveau...
Merci pour les infos.

Fred

[Gaston]

Salut,

Je veux bien prendre une leçon là-dessus parce que ça dépasse mon niveau...

Moi aussi
La seule chose que je puisse dire c'est que cette position des développeurs me réconcilie un petit peu avec des libertés prises dans l'architecture de la SME
Sous Unix, les fichiers de configuration sont sous /etc, les binaires statiques sous /sbin (bon quand on voit IBM y mettre des scripts ), /dev les devices, ... (descriptionplus détaillée icipar exemple) et les composants optionnels au système sous /opt
A partir de là on doir pouvoir revenir à la gestion de droit conforme à un système Unix pour les accès aux ressources systèmes et ne s'occuper que des problèmes d'accès aux interfaces pour les utilisateurs, via les i-bays.
C'est peut etre un peu philosophique pour finir l'année, mais ça nous donne un bon début pour une discussion inter-année.

G.

[fraedhrim]

Sur l'exotisme de l'arborescence je te rejoins totalement. C'est un peu déroutant au début et en général ce qui rebute les collègues que j'essaie de convertir à la SME.

Sur ce : bon réveillon !!!

[Cool34000]

Vous comprendrez donc mon désarois, n'ayant que SME pour seule expérience !

Un ptit plize

Bonne année à tous !!!