Bonjour,

Je cherche à ce qu’un utilisateur Linux (sous Debian) ne puisse pas rendre exécutable (+x via chmod) un fichier qu’il aurai envoyé dans un de ses répertoires (en l’occurrence ici /www/ où il ne devrai y avoir que des pages Web), dans son home (chrooté).

Mon utilisateur peut exécuter certaines commandes (présentes dans son propre /bin/ chrooté en read only que je lui fourni) mais je ne veux pas qu’il puisse ajouter des binaires dans un autre répertoire où il peut écrire.

Je pourrai très bien ne pas rendre disponible la commande bash chmod (ce qui est actuellement le cas) mais ce n’est pas véritablement une solution car la fonction chmod() de PHP se suffit à elle même et j’aimerai ne pas avoir à la désactiver à son tour. Ça serai dommage d’avoir un PHP chrooté pour autoriser les commandes PHP exec(), system() etc... et d’avoir à désactiver chmod() ce qui peut perturber certain CMS.

Auriez-vous une autre idée s’il vous plaît ?

PS : J’utilise Debian 11 sur le système de fichier ext4 ainsi que NFSv4.2 avec les ACL activées.

Merci d'avance,
Élodie BOSSIER