Forum Debian Users Gang

winnetou napisał(-a):

Najwygodniej zainteresuj się czymś takim co się nazywa suPHP tylko do tego proponuję własnoręczną kompilację Apache+PHP+suPHP. Na Debianie średnio mi się udało to skonfigurować poprawnie. Poza tym przy ręcznej kompilacji w/w softu możesz ustawić użytkownika/grupę per vhost.

nie chce sie bawic w reczne kompilacje.

do serwera via ftp i tak de facto ma dostep personel - po wprowadzeniu przez nich zmian wrzucaja zmienione pliki serwisow lub inne rzeczy na serwer via ftp i chodzi o to, zeby nie trzeba bylo logowac sie na konsole i zmieniac prawa/uzytkownikow do tego, co zrobia.
a czasem zrobia cos, co wymaga, zeby serwer mogl zapisywac sobie w jakims tam katalogu (np. pliki cache  czy inne takie)

cyb napisał(-a):

do serwera via ftp i tak de facto ma dostep personel - po wprowadzeniu przez nich zmian wrzucaja zmienione pliki serwisow lub inne rzeczy na serwer via ftp i chodzi o to, zeby nie trzeba bylo logowac sie na konsole i zmieniac prawa/uzytkownikow do tego, co zrobia.
a czasem zrobia cos, co wymaga, zeby serwer mogl zapisywac sobie w jakims tam katalogu (np. pliki cache  czy inne takie)

Hm... masz serwer FTP który nie pozwala na zmianę uprawnień? Który to?

No to tylko suexec/suphp. Nie wiem jak na debianie, ale na centosie działa. Jedyny problem to taki że php działa jako cgi - ale to jest do przeżycia.

cyb napisał(-a):

tak z ciekawosci, zmiana w /etc/apache2/envvars
linii:
export APACHE_RUN_USER=www-data

na:
export APACHE_RUN_USER=userek1

powoduje ze procesy zaczynaja chodzic jako userek1.
ale czy taka podmiana jest bezpieczna z punktu widzenia bezpieczenstwa?

Apache ma wtedy uprawnienia użytkownika  którego został uruchomiony - więc jak użytkownik może zrobić np:

rm -rf /home

to i Apache to może zrobić. Bezepieczeństwo w takim wypadku zależy m.in od uprawnień jakie ma dany użytkownik w systemie, aczkolwiek nie tylko. Bezpieczeństwo to temat rzeka ;)

jak mozna zrobic w lenny, zeby apache (dziala teraz jako user www-data i grupa www-data) dzialal rowniez jako user przykaldowyuser1, tzn byl w stanie zapisywac do katalogu /var/www (i jego podkatalogow)?

bzdura.
Zwykły użytkownik -aby się zalogować, potrzebuje aktywnej powłoki shell (domyślnie bash, czasem zsh lub inna).
Taka powłoka pozwala na uruchamianie skryptów i jest potencjalnie niebezpieczna.
Natomiast apache działa na prawach użytkownika systemowego z domyślnie ustawioną powłoką /bin/false - która uniemożliwia użycie powłoki i znacząco obniża ryzyko działania exploita lub innego groźnego kodu.

A jak powloka fallse - to za malo, to zawsze sa jeszcze jaile/chrooty, apparmor/tomoyo/selinux/grsecurity, mod-security i mod-evasive, i suhosin do php.

Natomiast strona i skrypty php - elementy wykonywalne (skrypty), oraz foldery -uprawnienia 755, pliki - które nie wymagają atrybutu wykonania - 644.
Ważne -żeby właścicielem plików nie był apache lub grupa www-data, ale użyszkodnik.
Wtedy apache pokazuje - serwuje pliki, ale z poziomu usera systemowego www-data (apache) nie można zmienić ani jednego bita w plikach strony www.

A strony użytkowników najlepiej chodzą na hostach wirtualnych - pod adresem http://użyszkodnik.domena.com/

Można tez prościej: podlinkować folder /home/użyszkodnik/publiczny do /var/www/użyszkodnik, i mamy stronę użyszkodnika pod adresem http://domena.com/użyszkodnik/

To by było na tyle
;)

Ostatnio edytowany przez Jacekalex (2010-07-29 20:45:02)

Jacekalex napisał(-a):

Zwykły użytkownik -aby się zalogować, potrzebuje aktywnej powłoki shell (domyślnie bash, czasem zsh lub inna).
Taka powłoka pozwala na uruchamianie skryptów i jest potencjalnie niebezpieczna.
Natomiast apache działa na prawach użytkownika systemowego z domyślnie ustawioną powłoką /bin/false - która uniemożliwia użycie powłoki i znacząco obniża ryzyko działania exploita lub innego groźnego kodu.

Bzdura...

http://pl2.php.net/manual/en/function.popen.php
http://pl2.php.net/manual/en/function.exec.php

Jaki problem odpalić /bin/bash plik.sh?

milyges napisał(-a):

Jacekalex napisał(-a):

Zwykły użytkownik -aby się zalogować, potrzebuje aktywnej powłoki shell (domyślnie bash, czasem zsh lub inna).
Taka powłoka pozwala na uruchamianie skryptów i jest potencjalnie niebezpieczna.
Natomiast apache działa na prawach użytkownika systemowego z domyślnie ustawioną powłoką /bin/false - która uniemożliwia użycie powłoki i znacząco obniża ryzyko działania exploita lub innego groźnego kodu.

Bzdura...

http://pl2.php.net/manual/en/function.popen.php
http://pl2.php.net/manual/en/function.exec.php

Jaki problem odpalić /bin/bash plik.sh?

Pisałem o Apachu, nie o php - konfiguracja php i wyłączenie potencjalnie niebezpiecznych funkcji,
to elementarz zabezpieczenia serwera, lecz pytanie było o apacha z działającego z uprawnieniami użytkownika.
A o ile się nie mylę, php nie jest integralną częścią Apacha.

To by było na tyle

O ile twój Apache dziala w internecie to radziłbym dać mu powłokę /bin/false i gruntownie zabezpieczyć wykonanie skryptów php i innych - działających po stronie serwera: perl, cgi, python, ruby.

Do tego pliki na serwerze - właściciel inny niż www-data, wyświetla i wykonuje skrytpy.
Pliki uprawnienia 644, skrypty i foldery 755, foldery cache i tmp (np joomli) uprawnienia 777.

Wtedy trochę podziała, aż ktoś go potraktuje atakiem slowloris, wtedy docenisz rewerse proxy.
http://forums.gentoo.org/viewtopic-t-834620-view-pr … e5b99b53b5ab3

Pozdrawiam

Ostatnio edytowany przez Jacekalex (2010-10-12 22:55:53)

A ja nie rozumiem jednego w tym wątku:
Autor wątku - Cyb, ani jednym słowem nie wspomniał o php.
Natomiast milyges wyskoczył ze skryptami php, ty go poparłeś.

To, że do php warto wziąść np safe-mode, suhosin, i wyłączyć wszystkie nieużywane funkcje,
typu system i podobne, a do tego załadować apacha do chroota, albo przynajmniej ustawić mod-security (ma opcję chrootowania apacha) - to dla mnie jasne jak słońce.

Ale to, że apache nie zawsze służy do do php, ale czasem też jako serwer plików - sam miałem taki cyrk, jak pracowałem w reklamie - reklama na PC (Windows) - redakcja - iMaci, sieć wspólna - maci nie obvsługują samby, Windows nie widzi sieci appletalk - dupa blada. Corel na Windzie w redakcji, skład na macu w redakcji. Dupa blada - informatyk z centrali - musicie sobie jakoś radzić.
Sam instalowałem na na windows millenium serwer www i ftp - żeby normalnie przeciągać pliki na maca.
Bo jak ktoś przyniósł reklamę  w corelu, i trzeba ją było przerobić na EPS, to potem  - trzeba ją było wrzucić do grafików. (jak przyszedłem do roboty - taki plik puszczali mailem (czas dostarczenia - około 2 dni :))) - bo nagrywarki w reklamie nie było, a pendrivy w 2002 roku, to była przyszłość).

A była to reklama całkiem sporego dziennika.
W firmach często na apachu się umieszcza np firmowe spisy telefonów, regulaminy, ogłoszenia, a nawet jadłospisy.
I to w plikach html lub pdf - wytarganych z worda lub accesa.

I IMHO - o to właśnie pytał autor wątku.
jakby chodziło o php - to by napisał o php, prawda?

Ostatnio edytowany przez Jacekalex (2010-10-13 01:21:32)