Nastaveni prav slozek

[ntz_reloaded]

chmod  750  na adresář dává rw pro skupinu? To snad ne.  640 na soubor  taky nedá write na pro skupinu.

taky koukam ze mas lehce co dohanet .. zapisovat se da i g+w a g-w

myslel jsem tim, ze kdyz mas g-w (tedy x5x pro adresare a x4x pro soubory), tak je zbytecne aby na skupine vubec nejaka prava byla (v nasem pripade jen pro cteni)

[Armus69]

 dovolím si tvrdit že do souboru  s 640  skupina nezapíše.

[ntz_reloaded]

dovolím si tvrdit že do souboru  s 640  skupina nezapíše.

ale dyk nic takoveho nerikam !!!!

[František Zatloukal]

fanys: Datum registrace: 05 Květen 2010, 17:37:10

100x se styd v nejtemnejsi a nejhlubsi nore jako dokazes nalezt

Ano, opravdu se stydím, vždyť to je ostuda, chtěl jsem pomoci a místo toho v těch příkazech nasekám chyby - první je to, že se nejmenuje www , ale www-data a ta druhá s chmodem - pro složky opravdu potřeba x (já používal u sebe chmod 777 /var/www/* , proto se nevyskytly problémy).

Omlouvám se za způsobenou potíž , jediné, co mne snad trochu omlouvá je to, že server s Ubuntu už 6 měsíců nemám, něco se mi z paměti vytratilo

[Armus69]

Ale ano.

chmod  750  na adresář dává rw pro skupinu? To snad ne.  640 na soubor  taky nedá write na pro skupinu.

 taky koukam ze mas lehce co dohanet .. zapisovat se da i g+w a g-w

 Od začátku mluvím pouze o skupině, protože webserver nemá co vlastnit soubory.

[ntz_reloaded]

dealne mas mit prava 770 slozky a 660 soubory + spravneho vlastnika a skupinu ? pod cim ti bezi httpd daemon?

  Ideálně zrovna pro web  750 a 640 pokud počítáme že apache přistupuje jen přes skupinu. Nechceme přece aby nám mohly zapisovat do souborů. 770 adresáře jen tam kam opravdu zapsat může ( log, temp, files ...atd).
   
   Jinak se stále dokola opakuje neochota naučit se alespoň základy fungování služeb, troubleshooting error logů a dalších základních znalostí.

     

coze v 750 znamena prvni cislo 7 vlastnika, druhe cislo 5 skupinu a treti others.

nechapu proc by webserver nemel vlastnit soubory, viz muj priklad s dhcpd

edit: chapu, ty jako nechces aby si httpd mohl menit sve soubory, aby je mel jen ro .. no to nevim jestli je dobrej napad .. mezi instanci /var/www a jeho chrootem je zasadni rozdil

eg opet priklad dhcpd:

Kód: [Vybrat]

# id dhcpd; ls -l /var/lib/dhcp
uid=105(dhcpd) gid=65534(nogroup) groups=65534(nogroup)
total 0
drwxr-xr-x 2 dhcpd root 112 Apr 15 17:06 db
drwxr-xr-x 2 root  root  96 Apr  4 14:24 dev
lrwxrwxrwx 1 root  root  15 Mar  7 10:51 dhcpd.leases -> db/dhcpd.leases
drwxr-xr-x 3 root  root 280 Mar  7 10:51 etc
drwxr-xr-x 2 root  root 400 Apr  4 14:24 lib
drwxr-xr-x 3 root  root  72 Mar  7 10:37 var

dhcpd ma chroot ro aby nemohlo dojit k nejakemu exploitu a zmenit konfiguraci zatimco instanci ma rw, stejne jako by mel mit instanci rw httpd a svuj chroot/root (je to jedno) ro .. prosim povsimni si, ze k zapisu pres skupinu nemuze v prikladu vyse dojit, ale logika je jak rikam

[Armus69]

 Proč by měl vlastnit ? Data jsou většinou uživatelská, takže patří jinému uživateli, pokud se to řeší přes chown www-data, tak se pak zase objevují topici že tam nejde zapsat přes ftp atd, proto to řeším vstupen apache do user skupiny.

     Ano nechci aby si webserver mohl měnit soubory pokud mu to přesně nedovolím a to proto že bych musel 100 procentně věřit kvalitě a neprůstřelnosti www kodu, což z principu nedůvěřuji. Proto to řeším způsobem kdy webserver přistupuje k souborům jako skupina kde je defaultně povolen jen read, a write omezen na nutné adresáře, rozhodně ne globálně. Chroot nepovažují za jednoznačně bezpečné řešení, ale pokud je to v kaskádě dalších omezení tak je jen dobře. 
     Vpřípadě použití mpm-itk nebo fastcgi+suexec je pak 500/400 a omezeně  700/600. 

    Možná jsem paranoidní a zbytečně si přidělávám práci ale to neznamená že po mě nejdou.   

 Koukám že p. Lemura jsme asi odrovnali.

[ntz_reloaded]

Proč by měl vlastnit ? Data jsou většinou uživatelská, takže patří jinému uživateli, pokud se to řeší přes chown www-data, tak se pak zase objevují topici že tam nejde zapsat přes ftp atd, proto to řeším vstupen apache do user skupiny.

.....

Možná jsem paranoidní a zbytečně si přidělávám práci ale to neznamená že po mě nejdou.   

^^ chapu a nic proti tomu nemam, ackoliv ja takto paranoidni nejsem a apachi docela verim ... ja typicky pouzivam apache chrootovanyho (jedine) a necham si pres vyse zminene skupiny cesticku k nemu do chrootu/instance napr pro zalohovaci skripty nebo nejake dalsi roboty. Pokud neexistuje po tomto pozadavek, je mozne a samozrejme z hlediska bezpecnosti lepsi, mit tam vyse zminene ro pro i samotneho apache

jen pro tvou informaci - takto paranoidni jsem v pripade tomcatu/glassfishe a javovskych obludnosti .. tam nastavuju prislusny *war ro

[Armus69]

Tomu zcela rozumím a v tomhle mi to nepřijde ani paranoidní.

[rpet]

no. zrovna jsem uvazoval, ze se zetpam na neco podobnyho, ale kdyz vidim, jak jste lemura zastrelili u zdi, tak se mi do toho moc nechce 

ale zkusim to:

na serveru je 10 uzivatelu. vsechny prava ke slozkam a souborum maji nastaveny korektne, neni zadny problem.

a ted:

pokud uzivatel nainstaluje cokoliv z interniho one-click scriptu, treba wordpress, vse funguje tak, jak ma. pristupy jsou nastaveny korektne, nikde zadny zadrhel, vlastnikem je 'www-data', coz by melo sedet.

ovsem pokud nainstaluje wordpress jinak, nez pres script, vlastnik se zmeni. puvodni a spravny vlastnik 10006 [1005 group] je najednou 10012 [1005 group]. uzivatel nemuze nema prakticky k nicemu pristup - nemuze soubory kopirovat, mazat, proste nic...

cim to je?? diky a palte slabsi zbrani...

[Armus69]

Co znamená nainstaluje wordpress jinak? Jak jsou vedeni uživatelé, jsou to reální linux users nebo virtuální?

[rpet]

realni uzivatele. pokud instalujou pres script, vsechno sedi. pokud si natahnou pres ftp svoji instalaci, pak maj prava jinak...