Renforcer une installation de Dolibarr

bfaliere · Février 10, 2025, 1:50

Bonjour à tous,

Je suis en train de faire une passe sur tout ce qui peut être fait en terme de configuration pour renforcer la sécurité de Dolibarr.

Outre ce qui est dispo sur les pages admin/system/security.php et admin/security_other.php, j’ai fait passer rapidement ces commandes :

$ find mondolibarr/htdocs/ -type d -exec chmod 0750 {} \+
$ find mondolibarr/htdocs/ -type f -exec chmod 0440 {} \+

Cela permet de rendre les fichiers du répertoire htdocs uniquement en lecture à l’utilisateur et au groupe, puis lecture, écriture, exécution sur les dossiers pour l’utilisateur, et lecture, écriture pour le groupe.

Je m’interroge par contre sur la pertinence de ces permissions sur le dossier custom, il faut que je vérifie si ça ne bloque pas l’ajout de modules.

On peut bien sûr aller plus loin sur la configuration du server web notamment au niveau des URLs API lorsque le module est actif.

Des avis ? Des bonnes pratiques à partager ? Je reporterai ensuite un maximum de choses sur le wiki.

Bonne journée o/

Beers · Février 10, 2025, 2:06

Bonjour,

chattr +i install.lock pour bloquer la suppression du fichier dans le répertoire documents

htdocs sur une partition en lecture seule (en ce qui concerne le répertoire custom il n’y aucune raison d’autoriser l’installation de modules en permanence).

Beers · Février 10, 2025, 2:08

pourquoi 750 et 440 ? 700 et 400 c’est suffisant

bfaliere · Février 10, 2025, 2:51

Quand l’utilisateur n’est pas le serveur web.
Par exemple, dans mon cas, le socket php a pour owner et listener l’utilisateur/groupe que j’ai créé pour mettre les fichiers de Dolibarr (dans le /home).
Mais le serveur web a besoin du groupe www-data. Bref, je pense que dans cette configuration, j’ai pas le choix.