GROS PB DE SECURITE

Gerald_Elbaze · Juin 25, 2001, 1:53

Bonjour,

Je viens d’installer spip.
Sur le principe cela fonctionne vraiment bien (félicitations) mais j’ai un pb de sécurité que je ne parviens pas à résoudre malgré un week-end studieux sur la question.

Pour faire simple:
lorsque j’indexe mon premier administrateur avec un login « root » j’ai accès à la partie admin sans problème mais surtout sans besoin de m’identifier… (moi comme tout autre personne) - la partie admin devient alors libre (sachant que root est un login général de mon système linux).
lorsque j’indexe mon premier administrateur avec un vrai login (c’est à dire un login qui ne correspond pas à un login de mon système linux) je ne parviens à rentrer dans la partie admin.

Je vous décris l’histoire:
nom de domaine: www.i3c-asso.org (vous pouvez vous y rendre…)
accès base de données: localhost avec login root pas de passwd
la boite de dialogue qui apparait au moment de me logger est: Site: www.i3c-asso.org Domaine: administrateur puis utilisateur et mot de passe (lorsque je remplis avec le bon user et passwd si ce n’est pas root alors je boucle…
j’ai mis mes répertoire en chmod 777 (sans que cela soit récursif) donc seul les répertoires sont en 777 (de tout façon j’ai essayé en le faisant récursif aussi !)
et enfin tous les fichiers sont marqué en user 1014 et en groupe urpmi (cela vient direct de l’install)
en revanche lorsque je fais un dézippage j’obtiens à la ligne de commande:
gzip: 1.0-beta24.tar.gz: decompression OK, trailing garbage ignored

C’est la beta24 mais j’ai tout fait avec la 23 auparavant.
Dernière chose pour ceux qui se sentent motivés: login: gerald mdp: bootsy

voili voilou… HELP

enfin, dans le cadre des activités I3C on pourrait voir comment soutenir le développement de SPIP (ou bien dans le cadre de Médias-Cité).

Gérald Elbaze
Médias-Cité

Centre de Ressources et de Partages
Nouvelles Technologies / Milieux Educatifs,
Culturels et Socio-culturels

Mél:elbaze@medias-cite.org
Net: www.medias-cite.org
Tel.: +33 (0) 556 47 85 45
Fax.: +33 (0) 556 47 74 01

112, avenue Pasteur
33185 LE HAILLAN

ad4ee71956de6520a70d · Juin 25, 2001, 3:12

Hello,

lorsque j'indexe mon premier administrateur avec un login "root" j'ai accès à la partie admin sans problème mais surtout sans besoin de m'identifier... (moi comme tout autre personne) - la partie admin devient alors libre (sachant que root est un login général de mon système linux).
lorsque j'indexe mon premier administrateur avec un vrai login (c'est à dire un login qui ne correspond pas à un login de mon système linux) je ne parviens à rentrer dans la partie admin.

?? SPIP n'utilise absolument pas les comptes Unix... Tout d'abord,
ton serveur Web semble mal configuré : les .htaccess ne marchent
absolument pas (cf. http://www.i3c-asso.org/ecrire/data/.htaccess :
ce fichier devrait être inaccessible ainsi que tout le répertoire
ecrire/data - "deny from all").
Si tu es sous Apache, dans le httpd.conf il doit y avoir une ligne du genre :
AccessFileName .htaccess
Et aussi à un autre endroit :
AllowOverride All
J'imagine aussi que le module d'authentification doit être chargé au début (?) :
LoadModule auth_module (...)/mod_auth.so

D'autre part, même en l'absence de .htaccess, SPIP sait
normalement gérer correctement les authentifications.
Donc il y a un problème bizarre.... Peux-tu vérifier
dans la base MySQL, si la table spip_auteurs contient
bien les auteurs que tu as créés, et seulement eux ?

ciao

Antoine.

PS : heu, spip@rezo.net étant une mailing-list, il vaut
mieux ne pas donner d'infos trop confidentielles ;))

--
New! 0x52A5E9D4, B9D2 9F64 EDFA 9C6C 0536 B85B 9321 0CCF 52A5 E9D4