Accès FTP, interdire accès à certains dossiers.

[Limporia]

Bonjour à tous.

Je suis confronté à une certaine problématique ces derniers jours.

 

Je gère des sites Prestashop pour des clients, et souvent, des modules fonctionnent mal. Dans ces cas là on fait appel au SAV du créaeur du module en question, qui demande 

URL du BackOffice, identifiants admin et codes de connexion FTP.

 

Déjà, moi ça me pose problème car j'ai remarqué que ça arrive super souvent qu'un module ne fonctionne pas et on se retrouve à refiler des données hyper sensibles à des sociétés prestataires de Prestashop.
Dans le dernier des cas que j'ai rencontré, une entreprise indienne... Je n'ai aucune garantie que que des infos sensibles ne tombent pas entre de mauvaises mains.

 

Je soupçonne de plus en plus que ce soit fait exprès, car dans beaucoup de cas, ce sont des bugs relevés sur les forums depuis des mois ou des années, et ils ne sont jamais résolus. 

 

Du coup, pour minimiser le souci, je crée un User temporaire sur le BackOffice de Presta, et ne lui donne accès qu'au module en question. et pour le FTP, je crée un utilisateur temporaire que je supprime après travaux.

 

Toutefois, je me suis rendu compte qu'avec cette méthode, l'accès FTP donne quand même accès au dossier Config et donc au fichier PHP contenant les connexions Base de Données. Avec ça, tu peux donc récupérer toute la DB, le CA du client, ses propres clients, enfin tout un tas de données ultrasensibles. Sans parler d'éventuels dossiers ou fichiers confidentiels pouvant se trouver sur le serveur.

 

J'ai bien pensé à ne donner un accès qu'au dossier contenant le module, mais parfois l'installation d'un module ajoute des fichiers dans d'autres dossiers racine...

 

Du coup, je me suis demandé si il est possible de créer un utilisateur FTP (la plupart de mes clients sont chez OVH) et de lui interdire l'accès à des dossiers spécifiques. Chez ovh pas d'options pour ça, mais je me dis que, peut être, une solution existe.

 

J'imagine que non, mais on sait jamais...

 

 

[Dan]

Lorsque tu crées un compte utilisateur ftp, tu définis un répertoire pour ce dernier.

Et selon ta configuration, il ne devrait pas avoir le possibilité de s'en extraire.

 

Par exemple, dans le cas de proftp, tu as la directive <Limit ...>  http://www.proftpd.org/docs/howto/Limit.html

 

[Limporia]

Salut Dan.

Oui mais le souci c'est que le plus souvent, le site prestashop est situé à la racine du serveur. Du coup l'intervenant a accès à tout.

Mon idée serait d'essayer d'interdire l'accès à des dossiers spécifiques un peu comme on le ferait avec un .htpasswd 

[Dan]

La directive <Limit ...> sert à ça ! Tu n'as pas du consulter le lien que je t'ai donné !

http://www.proftpd.org/docs/howto/Limit.html

 

Et pourquoi lui donner accès à l'entièreté du site pour accéder à un module ? Tu n'as pas du correctement définir le répertoire du compte temporaire.

 

[Limporia]

Aha en effet je n'avais pas consulté le lien, attends que je lise ça, mais d'ici quelques heures car j'ai à faire maintenant.