[LINUX][DEBIAN] Augmenter les droits du user du serveur web

Bonjour,

Je désire pouvoir gérer mon serveur Debian à distance. J’ai déjà Webmin d’installé mais les limitations de proxy de mon lieu de travail m’empêchent d’utiliser les émulations telnet et ssh intégrés à webmin.

Je dispose d’un script PHP émulant une session telnet mais celui-ci possède les droits du user du serveur web. Sur apache2 (celui installé sur la debian) il est impossible de lancer le serveur avec le root .

Voilà ma question, si je créé un user dédié à l’administration via le web , quels doivent êtres les droits à affecter à ce user pour que je puisse :

  • Gérer les packages.
  • Lancer divers outils tels que rsync qui crééent des fichiers et des répertoires.
  • Lancer des scripts de gestion de daemon.

Dois-je faire un chown sur certains répertoires ? En faisant celà est-ce que je ne risque pas de bousiller le système ?
Quelle autre solution vous semblerait moins risquée ?

Sur mon NAS , le serveur apache était une ancienne version qui permettait l’utilisation du root comme user .

Merci pour vos réponses.

  • c’est toujours possible de faire tourner apache en root
  • c’est pas du tout une bonne idée
  • le https c’est mieux et le proxy voit rien (s’il le laisse passer).
  • man sudoers

sudo ca sux des ours
su rulez.

LoneWolf
Message a caractere vaguement informatif

[quote=“LoneWolf, post:3, topic: 30884”]sudo ca sux des ours
su rulez.

LoneWolf
Message a caractere vaguement informatif[/quote]

Le problème est que su est une commande interactive, or le script php ne permet que les commandes immédiates.

Du coup le user apache doit avoir les droits dès le démarage du serveur. Là est le problème.

Naze.

Non. C’est mal. Danger Securite. Bouh. Verbotten. Tout Ca.

ehsel a donc raison, man sudo et sudoers. C’est pas super non plus mais c’est moins pire.

(sudo means “Super User DO”)

LoneWolf
M_le_maudit a toujours des besoins zarb avec son linux…

[quote=“LoneWolf, post:5, topic: 30884”]LoneWolf
M_le_maudit a toujours des besoins zarb avec son linux…[/quote]

Et encore, tu sais pas tout …

Par contre, on peux contourner le problème, si vous connaissez un moyen d’accèder à mon telnet ou SSH via le port 80 , je prend.

Tenez compte tout de même du fait que je débute sous Linux et Debian en particulier.

Configurer SSH pour écouter sur le port 80 ?
Bon évidemment dans ce cas, c’est soit SSH soit Apache …

Mais par exemple, si tu configures SSH sur le port 80 et Apache qui ne fait que du HTTPS, le port 443 n’est peut-être pas bloqué par le proxy de ton entreprise ?

[quote=“M_le_maudit, post:6, topic: 30884”]Et encore, tu sais pas tout …

Par contre, on peux contourner le problème, si vous connaissez un moyen d’accèder à mon telnet ou SSH via le port 80 , je prend.[/quote]
Bon d’abord tu t’administreras 20 coups de fouets pour avoir osé sortir le mot en t… devant tout le monde.

bon 5 coups de fouets alors mais ne recommence pas.

Ensuite ton problème n’est pas de mettre le ssh sur le port 80, ça c’est facile, et si tu passes par un proxy tu seras pas plus avancé.
La chose a regarder d’abord c’est si le proxy par lequel tu passes permet de faire du https (bis repetitae).

Effectivement , je peux accèder aux pages protégés depuis mon poste, du coup la gestion avec le SSH sur le port 80 devrait être possible en gardant webmin sur le port 443.

J’ai bon ?

Et ton apache tu y accèdes comment après? B)

[quote=“M_le_maudit, post:9, topic: 30884”]Effectivement , je peux accèder aux pages protégés depuis mon poste, du coup la gestion avec le SSH sur le port 80 devrait être possible en gardant webmin sur le port 443.

J’ai bon ?[/quote]
bien au contraire.
Déjà tu ne devrais accèder à ton webmin qu’en SSL, parce que le HTTP en clair pour des choses sensibles C’EST PAS BIEN DU TOUT.
Ensuite ton proxy il peut pas bloquer quoi que soit en SSL, c’est forcément du tunneling. Donc si l’émulation webmin du ssh passe pas en https c’est qu’elle ouvre des connections par ailleurs (ça fait trois ou quatre siècles que j’ai pas regardé ce truc, c’est quoi au juste son “émulation ssh”, une applet java ?)
Sinon tu peux envisager de binder sshd sur le port 443 et y accèder comme ça puis d’accèder à ton apache en le faisant passer par un tunnel ssh, mais c’est un peu plus compliqué à faire.