ftp root helye biztonsági szempontból

 ( csontika | 2013. szeptember 20., péntek - 15:17 )

Megosztott tárhelyen http mappa almappáját megadhatom ftp rootnak?

Szeretném a weboldalon keresztül feltöltött fájlokat elérhetővé tenni. Viszont nem szeretném ha két szinttel feljebb lépve kiolvassák az oldal kapcsolódási adatait. Drupal /sites/files/ftproot lenne beállítva.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

? .htaccess +Indexes ? + htpasswd

Minek ehhez FTP, ha csak nem feltöltést is szeretnél.

Üdv
-krix-

Jó ötlet köszönöm. Akkor ez mindenképpen jobb megoldás mint az ftpk.

Nem regisztrált felhasználóknak szeretném a feltöltött tartalmat lista szerűen elérhetővé tenni, tehát htpasswd nélkül is megfelelő lenne?

Találtam két modult, de gondolom ezek kevésbé biztonságosak, mint a fent említett indexes megoldás?
https://drupal.org/project/filebrowser
https://drupal.org/project/filetree

Gyakorlatilag akkor azt szeretnéd hogy authentikáció nélkül, egy adott weboldal könyvtár alatt lévő fájlok bárkinek elérhetőek legyenek? (pl www.asdasd.hu/uploads/)

Természetesen htpasswd nélkül is lehet. Ebben az esetben az adott könyvtárra meg kell adni egy +Indexes opciót apache-nál és kész is.


< Directory /opt/valami/asdasd.hu/uploads>
Options +Indexes
< /Directory>

(szóköz nem kell a < D* résznél)

http://wiki.apache.org/httpd/DirectoryListings

Elvileg ennyi az apache configba és az uploads máris fájl listát fog neked adni, ha beírod a böngészőbe.

Üdv

köszönöm, talán ez lesz a legbiztonságosabb megoldás:) rábízzuk magunkat az apache-ra.

Csak arra figyelj, hogy az apache default beállításai nem elég biztonságosak.
--
PtY - www.onlinedemo.hu

akkor neked mi a javaslatod apache biztonsag teren? te milyen configal futtatod?
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/

Minimum így:

Idézet:
ServerTokens Prod
ServerSignature Off
TraceEnable Off

--
PtY - www.onlinedemo.hu

Csak állítsd be, hogy chroot-olva legyen az FTP-user a home könyvtárába, és máris meg van oldva a probléma.

+1
A legalapvetőbb megoldás a chroot, én is pontosan így szoktam megoldani.

--------------
“If there were no hell, we would be like the animals. No hell, no dignity.”

Alapvetően, ha az elveknél vagyunk, akkor az ftp nem biztonságos.

++
Épp írni akartam, hogy /dev/null :)
Én inkább adok sftp-t chrootolva kulccsal és passphrase-zel. Commandshell nélkül.
--
PtY - www.onlinedemo.hu

sftp és használat lftp-vel vagy winscp-vel és kész is. a könyvtárra meg beállítasz egy -x ACL a legfelső szintre
és beállítod a sticky bitet hogy mindenkire érvényes legyen. plusz letiltod az adott usereknek a chmod és chown binárisokat.
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/

Ha nincs shell, és van chroot, ez mind fölösleges.
Kliens tekintetében a winscp nekem mindig elcseszte a windowsos userek ékezetes karaktereit - igaz, régen próbáltam utoljára, mert a Bitkinex nagyon bejött a win usereknek, mint kliens. És webdavot is tud.

Apropo webdav. Az is jó megoldás lehet SSL-en keresztül.
--
PtY - www.onlinedemo.hu

ha nincs shell akkor az ftp/scp még műxik? soha nem próbáltam.....
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/

Simán :)

Én így csinálom (/etc/ssh/sshd_config)
--------------
Subsystem sftp internal-sftp

Match group <sftpgroup>
ChrootDirectory </idezarodbe>
PasswordAuthentication no
--------------

A chroot a root tulajdonában kell, hogy legyen, az alkonyvtár meg lehet a useré (innentől unix attributumokkal szabályzod) pl. /idezarodbe/jozsi.

Shellje nincs, sftp működik kiválóan, kilépni a chrootból nem tud. That's it.
--
PtY - www.onlinedemo.hu

"Megosztott tárhelyen http mappa almappáját megadhatom ftp rootnak?"

Megadhatod, ha:
- megoldod, hogy a webszerver ne tudjon belole futtatni semmit (php, cgi, ssi, ...), es
- megoldod, hogy az ftp root ne legyen irhato

--
"You're NOT paranoid, we really are out to get you!"

Bérelt tárhely esetén hogy biztosítom az elsőt? htaccess-sel?