Je viens d’installer la version strech de raspbian et je n’ai pas encore installer Apache2.
Pourtant… quand je liste les utilisateurs sur le raspbian je vois qu’il y a un utilisateur www-data.
Lorsque je creuse, je vois aussi qu’il existe un dossier apache2 dans /etc avec un répertoire conf-available.
Dans le var, nous n’avons pas de dossier www.
Est ce quelqu’un à une idée du « pourquoi » il y a l’utilisateur et le dossier apache2 alors que rien n’est encore installé ?
www-data n’est pas un utilisateur apache, il est celui des serveur web, au moins lighttpd utilise le même utilisateur. Cet utilisateur est créé par défaut sur le système.
Par contre je n’ai aucune idée pourquoi le repertoire /etc/apache2 existe déjà.
Merci pour ta réponse si rapide !!
Je commence tout juste à mettre le nez dans apache et je pensais que l’utilisateur www-data était créé lors de l’installation !
Je n’en suis pas encore là mais, en terme de « sécurité », je suppose qu’il est préférable de ne pas utiliser www-data sur un site ouvert sur Internet ?
Qu’en penses tu ?
Je ne suis pas spécialiste en sécurité. Je pense que le risque ne vient pas du user mais des droits qu’il a sur le serveur (par exemple sudo à éviter). La sécurité à mettre en place est surtout du coté du serveur.
Pour chacun des points ci-dessous, faire une recherche sur le net pour avoir des tutos et infos détaillées
utiliser ssh avec une couple de clé rsa privée/publique et une passphrase robuste pour se connecter sur le PI.
supprimer l’accès ssh à root
supprimer les services inutiles
avoir un système à jour
installer fail2ban pour eviter les attaques DDOS
installer un firewall iptable
surveiller l’activité du serveur avec logwatch
si tu est un peu parano, installer rkunther
configurer les vhost d’apache pour ne permettre que ce qui est autorisé
en cas d’utilisation de PHP, le brider
se remettre en cause en permanence, car c’est de l’administrateur que viens la plus grande cause de failles du système !
Tous ces points sont bien sûr discutables en fonction de chacun et des risques acceptables.
Si le PI n’a pas accès à d’autres machines du réseau local et qu’il n’y a pas de données personnelles sensibles dessus jusqu’où aller dans la sécurisation ?
Merci pour ton retour !
C’est effectivement la question que je me pose.
J’ai pour projet de mettre en ligne un site web. Avant de me lancer dans cette étape je souhaite maitriser les minimums niveau sécurité… et donc les bases.
Je vais explorer tous ça !
Une dernière question
J’ai donné les droits avec un jolie -R à user qui remplace pi (disons toto) au dossier /var/www.
Lorsque je crée un nouveau fichier et que je lance un ls -l le fichier appartient à toto du groupe toto.
Du coup, je refais une chmod pour que le contenu soit accessible en lecture à www-data.
Y a t il un moyen de faire en sorte que lorsque je crée un fichier/dossier dans /var/www que le groupe soit systématiquement www-data ( mais uniquement dans ce dossier) ?
J’avais pensé à joindre toto à www-data cependant quand je crée un fichier ailleurs je suppose que le groupe sera systématiquement www-data non ?
