Fórumok
Üdv!
Abban szeretnék segítséget kérni hogy hogyan lehet letiltani az apache-al, hogy lefuttasson egy olyan php fájlt aminek az UID-ja 33(www-data). Több olyan apache modult is láttam ami használja a fájlok UID-ját, épp csak a tiltásra nem sikerült találnom semmit a google-ben. Mivel a szerveren kell fájlokat feltölteni, és a php fejlesztők odafigyelésére nem lehet alapozni, ezért lenne fontos. Elszánt vagyok, ha valami spéci apache modult kell felrakni nem baj, de azért forrásban ne kelljen turni ha lehet. Ja és CGI-is PHP megoldást sem szeretnék ha lehet. Jó nekünk a beépített modulos.
Köszönöm
Hozzászólások
valami access control segíthet... nálam rsbac szépen megoldja.
Biztos jó ez a kiterjesztett fájl hozzáférés kontroll, de a telepítése kernel patch-elésnek tűnik. A legfőbb gond viszont az hogy include szinten szügség van ezekre a fájlokra a smarty miatt. Ezért nehéz lenne ezzel elkülöníteni a dolgot szerintem, de nem tudom.
tipp: mod_sec
--
http://laszlo.co.hu/
Köszi!
Ez áll a legközelebb a lelkivilágomhoz, már meg is van a kulcsszó:
SecRule SCRIPT_UID
suphp-val lehet próbálkozni, de masszív géperőforrást tud enni. Sztem nézegesd meg mégis csak a FastCGI-t, nagyon kiválóan működik az.
A fastCGI vel az a gondom hogy minden felhasználónak külön motort futtat, és amúgy is kevés a memóriánk(256MB egy szervernek LOL), de azért kösz.
bocs, lehet hogy nagyon hülyeség amit írok, de nem lehetne egyszerűen letiltani a chown parancsot a felhasználóknál?
egyébként (tanulás végett kérdezem) miért baj ha a www-data futtat php-t?
-----------------------------
Ubuntu Gutsy Gibbon
Nem a chown paracsal van probléma. A php szkriptek eleve www-data-val futnak default beállításoknál, így a feltöltött fájlok is csak www-data-val jöhetnek létre. Egyszerúen csak nem szeretném hogy feltöltött fájlt lehessen futtatni.(Gondolom értehető hogy nem szeretném hogy egy feltöltési bug miatt bárki php szkriptet futtathasson a szerveren)
aha, szóval egy php szkriptet nem feltétlenül a tulajdonosa futtat...
akkor nekem miért nem megy vajon a wordpresemben a webes css módosítás? azt hittem azért mert én vagyok a tulaj... ha átpasszolom a cuccot az apachenak akkor megy...
-----------------------------
Ubuntu Gutsy Gibbon
Ami nálad az apache az nálam a www-data. Azért nem ment mert amikor jön egy http kérés a weben akkor az apache www-data felhasználóval futtatja a php szkriptedet, ezért nem tudja írni a css fájlodat, viszont ha annak tulajdonosa is www-data akkor igen.
Jók vagyonk!
ModSecurity-vel megcsináltam. Nem volt egyszerű, sok rigojája van. Pl állítsak be a szervernek valódi host nevet, meg ilyenek...
Hát ez komoly. A kis pofátlan mod_sec, még elvárja, hogy egy szervernek legyen normális host neve :)
--
http://laszlo.co.hu/
Félig irónia volt. :)
Amúgy meg elég rosszul esett hogy nem indult el az apache, és ilyen dolog miatt. Kezdő vagyok és a hostname parancsot nem volt kellemes ilyen helyzetben megismerni. A másik meg az volt hogy nem volt benne az alap repositoryban ez a modul, és külön kellet összevadászni.
Csak tulajdonos alapjan szabad kulonbseget tenni? Utvonal?
Csak mert esetleg apparmor meg finom lehet, es azt nem csak erre az egy dologra hasznalhatod.
Azóta a csoportot is figyelem, és a chmod jogokat is. Egész jó kis szabályrendszer van már. Monjuk amellett hogy a referenci hozzá nem igazán átfogó , és a felépítése sem tetszik, még hibát is találtam benne. a SCRIPT_MODE a valóságban nem úgy működik mint ahogy ott le van írva. És ezt a mod_sec-et egyáltalán nem csak erre lehet használni. De egyenlőre csak erre fogom használni. Mert a session get post-ba nem szólok bele, csak ha külön kérik. És az útvonalba sem, az ráadásul nagyon sokféle, és folyamatos változásban van.