Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Безопасность веб-сервера

man2D

Автор man2D
в Сетевая безопасность

 Поделиться

Рекомендуемые сообщения

man2D

man2D

Опубликовано
Опубликовано

Собственно, хотел поговорить об этом. Психолог в отпуске :greedy:.

Нашёл неплохую статью по настройке apache от Stricty.

http://www.opennet.ru/base/dev/php4unix.txt.html

Там ничего не сказано о настройке каталогов других пользователей.

Мне непонятно вот что. В httpd.conf указываем open_basedir как /home/username. Тогда пользователь nobody/www, от которого запускаются скрипты может изменять/читать файлы из этого каталога. Допустим, я пропишу open_basedir как /home. Тогда скрипт сможет изменять директории других пользователей. А это плохо.

Ссылка на комментарий
Поделиться на другие сайты
root_

root_

Опубликовано
Опубликовано

И в чем конкретно проблема...

Да, если ты разрешиш работать с папкой /home то фактичеки ты разрешиш nobody запускать скрипты из этой папки.

Все дело в том что по умолчанию в *nix системах доступ к папкам пользователей ограничен.

Я не думаю что какие-то скрипты смогут обойти систему безопастности *nixов.

Т.е. скрипты из папки /home. не смогут изменить другие папки, если специально не изменить права на папки пользователей.

Ссылка на комментарий
Поделиться на другие сайты
man2D

man2D

Опубликовано
  • Автор
Опубликовано

root_: Я имел ввиду нечто другое. Пользователь qwerty может с помощью скрипта изменить содержимое домашней папки пользователя asdf, т.к. владельцем папки /home будет nobody, от лица которого запускаются php-скрипты.

Ссылка на комментарий
Поделиться на другие сайты
root_

root_

Опубликовано
Опубликовано

/home - владелец nobody

/home/asdf - владелец asdfg

/home/qwert - владлец qwerty

Если у пользователя nobody есть права на запись и изменение /home, то он легко сможет исправить с помощью скриптов и /home/asdf и /home/qwerty.

Ссылка на комментарий
Поделиться на другие сайты
man2D

man2D

Опубликовано
  • Автор
Опубликовано

root_: О том и речь... Один пользователь сможет стереть каталог другого пользователя. Как этого избежать?

Ссылка на комментарий
Поделиться на другие сайты
root_

root_

Опубликовано
Опубликовано

man2D: а зачем тебе давать права nobody на папку /home?

Нельзя как то по другому реализовать, в чем вообще стоит задача?

Ссылка на комментарий
Поделиться на другие сайты
man2D

man2D

Опубликовано
  • Автор
Опубликовано

root_: Задача состоит в том, чтобы, скажем, пользователь qwerty мог с помощью php-скрипта изменять chmod на файлы в своём каталоге (/home/qwerty).

Ссылка на комментарий
Поделиться на другие сайты
root_

root_

Опубликовано
Опубликовано

man2D: А все скрипты запускаются от nobody, и естественно нужно что бы один пользователь не могу ничего сделать с другим?!

И у каждого есть своя папка и своя группа.

Ну я так понимаю что права на чтение и выполнение тебе в любом случаи нужно дать nobody - но тогда любой пользователь сможет посмотреть папку другого пользователя, а это не хорошо...

получается что nobody должен только выполнят скрипты, а доступ к папкам осуществлятся только на уровне пользлвателей.

chmod 001 /home для nobody и потом соответственно каждому свои права.

Ссылка на комментарий
Поделиться на другие сайты
man2D

man2D

Опубликовано
  • Автор
Опубликовано

Блин, выручайте :bye1:.

Сделал chown -R apache:apache /home/user, теперь скрипт работает, chmod() с помощью скрипта изменяется. Но потерялся доступ по FTP. Как бы всю эту мутотень настроить по-умному?

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...