Petit soucis de droit Jeedom "Beta"

[M4dm4rtig4n]

Bonjour,

Je suis récemment passer sur la branche "beta" de Jeedom et je rencontre un petit soucis assez frustrant que je n'arrive pas à en trouver la cause...
Certain diront probablement que je n'ai qu'a installer la version "stable", mais j'aime prendre des risques ^^^

Pour faire simple, tt les matins quand je me réveille Jeedom est HS et je suis obligé de remettre au propre les droits du dossier /var/www/html avec la commandes :

Code : Tout sélectionner

find /var/www -type d -exec chmod 755 {} \;; find /var/www -type f -exec chmod 644 {} \;

Et voici la page d'erreur que j'ai tt les matins quand j'essaie d’accéder à l'interface :

Code : Tout sélectionner

Forbidden
You don't have permission to access / on this server.
Server unable to read htaccess file, denying access to be safe

Je n'arrive pas à trouver la tâches ou autre qui peut être la cause de changement de droit du répertoire ?
Est-ce que quelqu'un aurais une idées ?

[domoggvad]

Désactive le backup pour voir, et remets les droits

Envoyé de mon Redmi S2

[M4dm4rtig4n]

J'essaie ça et je te dit quoi demain matin

[M4dm4rtig4n]

Bon en fait c'est sûr que le soucis vient du backup car je viens d'en lancer un manuellement et bim => FORBIDDEN

Une idées de comment fix le soucis ?
J'ai pas vu de catégorie dédiée au bug de la beta sur le forum :/

EDIT : Je viens de regarder le source est à priori le soucis vient de la fonction "Jeedom::cleanFileSytemRight" qui à une drôle de façon de nettoyer les droits :p

Code : Tout sélectionner

        public static function cleanFileSytemRight() {
                $cmd = system::getCmdSudo() . 'chown -R ' . system::get('www-uid') . ':' . system::get('www-gid') . ' ' . __DIR__ . '/../../*;';
                $cmd .= system::getCmdSudo() . 'chmod 774 -R ' . __DIR__ . '/../../*;';
                $cmd .= system::getCmdSudo() . 'find ' . __DIR__ . '/../../log -type f -exec chmod 664 {} +;';
                $cmd .= system::getCmdSudo() . 'chmod 774 -R ' . __DIR__ . '/../../.* ;';
                exec($cmd);
        }

Bon je viens d'edit le code de cette façon et a priori les backup n'explose plus mon installation...

Code : Tout sélectionner

        public static function cleanFileSytemRight() {
                $cmd = system::getCmdSudo() . 'chown -R ' . system::get('www-uid') . ':' . system::get('www-gid') . ' ' . __DIR__ . '/../../*;';
                $cmd .= system::getCmdSudo() . 'chmod 755 -R ' . __DIR__ . '/../../*;';
                $cmd .= system::getCmdSudo() . 'find ' . __DIR__ . '/../../log -type f -exec chmod 664 {} +;';
                $cmd .= system::getCmdSudo() . 'chmod 755 -R ' . __DIR__ . '/../../.* ;';
                exec($cmd);
        }

[domoggvad]

J'avais créé un scénario qui redonne les droits aux besoins, et surtout j'ai désactivé le backup automatique.


Envoyé de mon Redmi S2

[M4dm4rtig4n]

Je préférè garder des backup par sécurité

[domoggvad]

Dans mon cas je fais un backup avant une mise à jour de plugin ou jeedom, ou quand j'ai fais une modification scénario, objet ou autre. Je m'amuse surtout avec ma box de tests

Envoyé de mon Redmi S2

[loic]

Bonjour,
Quel est l'utilisateur apache ? Car la tu donnes les droits en lecture a tout le monde c'est normalement pas nécessaire seul apache a besoin d'y accéder

[M4dm4rtig4n]

Mon user apache est www-data et tt le répertoire /var/www/html en est propriétaire + group.

Et 755 c'est juste lecture/exécution, pas écriture.

Envoyé de mon Nexus 6P en utilisant Tapatalk

[loic]

oui oui je vois bien ce que c'est mais si le répertoire est en 7xx et qu'il appartient a www-data qui le process d'apache normalement apache à tous les droits déja....

[M4dm4rtig4n]

J'avoue, perso je ne comprend pas trop d'où vient le soucis surtout que mon install apache est l'installation de base avec juste un léger tunning au niveau du vhost pour écouter sur le port 8080 (le 80 étant occupé par un haproxy).

Je viens de tester du 751 et ça fonctionne.
En gros je suis obligé de donner au minimum le droit d’exécution à "other"

Server version: Apache/2.4.25 (Raspbian)
Server built: 2018-11-03T18:46:19

EDIT : Je viens d'avoir un débat avec d'autre admin sys sur le besoin des droits d’exécutions sur le "other" que j'ai toujours appliqué sans trop réfléchir pour l'instant xD
Et à priori, il est nécessaire d'avoir au minimum des droits d’exécutions sur un répertoires web car même si apache tourne avec le user www-data, les utilisateurs qui navigue sur le site sont considéré comme "other".

[loic]

OK bon je viens de pousser une correction en beta en passant de 4 à 5

[M4dm4rtig4n]

Bah pour le coup, 751 à l'air de suffire.
Ou même 771 si l'ont désire donner l'écriture aux autres utilisateurs qu'on inclue dans le groupe www-data.

Perso je reste en 751 pour l'instant, et je vous fait un retour si je découvre d'autre soucis lié au manque de lecture pour "other"

[lunarok]

EDIT : Je viens d'avoir un débat avec d'autre admin sys sur le besoin des droits d’exécutions sur le "other" que j'ai toujours appliqué sans trop réfléchir pour l'instant xD
Et à priori, il est nécessaire d'avoir au minimum des droits d’exécutions sur un répertoires web car même si apache tourne avec le user www-data, les utilisateurs qui navigue sur le site sont considéré comme "other".

Tu tiens ca d'où ??? J'ai jamais rien entendu de tel et au niveau Linux c'est farfelu, "other" n'existe pas, tu es un utilisateur ou noone. Et noone n'est utilisé que dans de rare cas il me semble, surement pas pour une navigation web.

On est plusieurs quand même en beta et on a déjà remonté à loic ce changement mais visible uniquement quand on se connecte en ssh (en gros la découverte ca été de plus pouvoir le parcourir avec mon user pour faire mon debug dev, càd supprimer un fichier qui fout la merde :D)
Mais sinon ca pose pas de soucis ni avec apache ni même nginx. Donc tu dois avoir une particularité dans ton install. Et quand tu dis que t'as rien de spécial mais que t'as ud haproxy installer avec modif du apache ... Tu as bien des spécificités.

[M4dm4rtig4n]

Quand je dit rien de spécial niveau configuration c'est au niveau d'apache, j'ai juste changer le port d'écoute 80 en 8080.
Le reste est la configuration de base, je n'ai strictement rien touché...
HaProxy est comme sont nom l'indique, juste un proxy qui fait passe plat vers les différent services que j'expose sur mon réseau.

Quand je dit "other", je parle du dernier niveau de droit "autre" en français qui peut être régulièrement utilisé mais avec parcimonie.

Bon sinon, j'ai refait une passe complète au niveau des droits du /var/www et maintenant le 750 ne plante plus mon installation...
En fait le soucis était en amont sur le dossier /var/www qui doit soit appartenir à root en 755 ou as www-data en 750 (j'avais un mix des deux)

Le dossier /var/www/html était quand à lui bien en www-data.

@loic, tu peut retirer ton fix du coup :p

[BizZ62]

Hello,

J'ai le même message sur un pi3 avec SSD déporté (Jeelink). Ca plante au bout de quelques jours. J'ai supprimé les sauvegardes automatiques pour voir en mettant à zéro le nombre de jours de sauvegardes mais il continue a en faire Il y a une autre façon de procéder ? (je fais des backups réguliers de mon SSD donc les sauvegardes à la limite c'est pas trop grave).

Sinon modifier les CHmod ?

J'ai cru comprendre dans ce post qu'il fallait mettre ceux du /var/www en 750 mais je n'ai pas compris la notion évoqué par @M4dm4rtig4n de :

/var/www qui doit soit appartenir à root en 755 ou a www-data en 750

Si quelqu'un peut m'aider à trouver la meilleure solution pour que ce Pi soit plus stable ?

Merci !

[M4dm4rtig4n]

Hello,

J'ai le même message sur un pi3 avec SSD déporté (Jeelink). Ca plante au bout de quelques jours. J'ai supprimé les sauvegardes automatiques pour voir en mettant à zéro le nombre de jours de sauvegardes mais il continue a en faire Il y a une autre façon de procéder ? (je fais des backups réguliers de mon SSD donc les sauvegardes à la limite c'est pas trop grave).

Sinon modifier les CHmod ?

J'ai cru comprendre dans ce post qu'il fallait mettre ceux du /var/www en 750 mais je n'ai pas compris la notion évoqué par @M4dm4rtig4n de :

/var/www qui doit soit appartenir à root en 755 ou a www-data en 750

Si quelqu'un peut m'aider à trouver la meilleure solution pour que ce Pi soit plus stable ?

Merci !

Hello,

Je suis sur le même type d'installation que toi avec un PI3 sur SSD

En gros, quand tu lance un backup, Jeedom appel la fonction "cleanFileSytemRight" qui :
- chown www-data:www-data /var/www/html
- chmod 774 /var/www/html

Mais à priori dans la derniere version un fix à était push car maintenant j'ai :

Code : Tout sélectionner

        public static function cleanFileSytemRight() {
                $cmd = system::getCmdSudo() . 'chown -R ' . system::get('www-uid') . ':' . system::get('www-gid') . ' ' . __DIR__ . '/../../*;';
                $cmd .= system::getCmdSudo() . 'chmod 775 -R ' . __DIR__ . '/../../*;';
                $cmd .= system::getCmdSudo() . 'find ' . __DIR__ . '/../../log -type f -exec chmod 665 {} +;';
                $cmd .= system::getCmdSudo() . 'chmod 775 -R ' . __DIR__ . '/../../.* ;';
                exec($cmd);
          }

Donc tu ne devrait plus avoir de bug :p

[BizZ62]

Merci de ce retour @M4dm4rtig4n !

Qu'entends-tu par dernière version ? Je suis en 3.2.11 et je ne vois pas d'update dans le centre de mise à jour.

Pourrais-tu m'expliquer les commandes à saisir ? Je suis pas trop à l'aise avec les commandes linux

Merci !!!

[Bosquetia]

Merci de ce retour @M4dm4rtig4n !

Qu'entends-tu par dernière version ? Je suis en 3.2.11 et je ne vois pas d'update dans le centre de mise à jour.

Pourrais-tu m'expliquer les commandes à saisir ? Je suis pas trop à l'aise avec les commandes linux

Merci !!!

La dernière stable est 3.2.16
Tente de cliquer sur mise a jour et faire une mise a jour forcé du core

[BizZ62]

Merci @Bosquetia !

C'est étonnant le centre de mise à jour ne me proposait pas la 3.2.16 sur mes deux Pi3 restés du coup en 3.2.11.

J'espère que cette mise à jour résoudra le soucis de stabilité d'un de mes Pi3 et que je n'aurais plus le message aléatoire :

Forbidden
You don't have permission to access / on this server.
Server unable to read htaccess file, denying access to be safe