Bonjour Joe,
Merci pour votre question, qui m'a permis de voir qu'une de mes installations n'est pas tout à fait "sécurisée" au sens des bonnes pratiques recommandées par la communauté Moodle !
C'est sans doute en raison de quelques difficultés
historiques lors de l'installation de plugins : parfois j'avais dû modifier certains droits, et c'est toujours plus facile de le faire en masse sur tout le répertoire. Un bon chmod -R 777 par exemple !
Mais comme l'installation en question n'est qu'une installation d'essais, de
tests et d'
intégration, et que je ne suis pas un parano, ce n'est pas très grave, surtout sur une installation en local (c'est mon installation de bidouille pour y faire tout et n'importe quoi)...
Si donc vous êtes nouveau et motivé sur Moodle, vous avez tout intérêt à suivre les bons conseils de la documentation officielle.
Cependant, lorsque certaines choses coincent un peu, vous pouvez tester quelques modifications d'autorisations, en notant bien ce que vous faîtes, pour
remettre les choses en ordre après la bidouille.
Par exemple, si le propriétaire de votre Moodle est l'utilisateur "root", et que l'ensemble de votre dossier est en mod "755", lorsque vous lancerez le programme d'installation via votre
navigateur web, il est probable (il me semble) que le fichier de configuration ne pourra pas être créé ou modifié par le serveur web... Vous devrez peut-être changer les autorisations sur le fichier config.php (en 755 ou 777), ou en changer le propriétaire pour qu'il corresponde au serveur web.
En fin d'installation, il faudra re-sécuriser votre fichier config.php (en 755 et utilisateur "root" selon la doc)
Par ailleurs, j'ai des installations dont les fichiers sont en 755, et d'autres en 644 : toutes fonctionnent très bien. Le 644 est probablement la norme mieux sécurisée... Et il me semble que c'est d'ailleurs dans ce mode d'autorisation qu'ils sont initialement prévus, avant "toute bidouille". Cependant, je n'ai pas noté d'erreur avec les fichiers en 755, ni avec le serveur web comme propriétaire.
Je pose donc les questions de fond suivante à la communauté : En quoi sécurise-t-on la plate-forme en précisant "root" comme propriétaire, plutôt que le serveur web (à distinguer les cas d'une installation avec accès par internet, d'une installation locale étanche à tout réseau) ? (chown -R root:root par exemple)
En quoi sécurise-t-on la plate-forme en supprimant les droits d'exécution sur les fichiers ? (chmod 644 par exemple) ?
Reste enfin votre question de l'accès au serveur.
Via un client FTP comme FileZilla, ce n'est pas évident de changer le propriétaire d'un dossier. Vous ne pouvez a priori que modifier les autorisations. Il vaudrait peut-être mieux éviter de le faire sur les dossiers en mode récurrent avec prise en
compte des fichiers, car vous ne maîtriseriez plus les éventuelles particularités de certains fichiers (mais y en a-t-il vraiment ? Moi, je n'ai pas craint d'utiliser le mode récurrent, mais savais-je ce que je faisais ?).
Avec un accès en ligne de commande (via Putty par exemple), lorsqu'il y a un blocage sur un
rôle, essayez d'abord une modification du propriétaire pour passer de root au serveur web, en mode recurrent (-R) sur tout le dossier Moodle, car de toute façon, initialement, tous les fichiers ont le même propriétaire (à vous de vérifier vous-même : je décline toute responsabilité !) . Une fois le blocage levé, revenez au propriétaire "root" comme préconisé dans la doc.
J'espère que cela vous rassurera sur la question de la sécurisation de votre installation Moodle, en tout cas pour entreprendre une petite période de prise en compte du logiciel, avant de faire une vrai installation en production. A ce moment, il faudra sans doute être un peu plus sérieux et procédurier.
En tout cas, comme vous l'avez bien écrit, il y a une bonne communauté, avec des personnes qui connaissent bien leur sujet et toujours prêtes à aider rapidement (par exemple sur ce forum, les excellents Daniel, Séverin, Alain-J,
Nicolas, Mary, et compagnie... Laquelle sera la plus rapide pour
répondre à ma question ci-dessus ?) . Quant au logiciel lui-même, il est si bien construit, que même un non informaticien comme moi arrive à y comprendre ce qui lui est nécessaire pour continuer...
