chroot priekš webmāstera

[ieleja]

vajag serverī (Debian 6, Apache2) iedot iespēju darboties webmāsteram, droši un lai viņam lieki nejauktu galvu. es nu daru tā:

 

=============================

/etc/ssh/sshd_config pielieku:

Subsystem sftp internal-sftp -u 0002

Match Group sftp

ChrootDirectory /home/webserver

ForceCommand internal-sftp

AllowTcpForwarding no

 

tad

 

useradd webmaster1

passwd webmaster1

usermod -s /bin/false webmaster1

usermod -d /home/webserver webmaster1

 

addgroup sftp

adduser webmaster1 sftp

 

adduser webmaster1 www-data

 

dati stāv:

/home/webserver/www

folderis pieder www-data:www-data, tiesības 775, g+s

 

pēc tam ar Filezilla, WinSCP tiek pie:

/home/webserver

kur atrodas:

/home/webserver/www

kurā ir dati ar kuriem webmaster1 var brīvi rīkoties

=============================

 

problēma ir, ka mans webmaster1 taisa folderus kas pieder webmaster1:www-data, bet ir ar 755 atribūtu

tas nozīmē, ka pēc tam apache vairs nevar tur rakstīt

[F3llony]

Pirmkārt, no kurienes visi rauj, ka webi ir jāliek home vai pasarg print opt, vai vēl sazin kur? vhostiem jāstāv /var/www/domens.com. Punkts. Likums. Bez izņēmumiem. Visus kuri pārkāpj sist un dedzināt uz sārta. Labākajā gadījumā, aizliegt tuvoties web serverim pa 300 kilometriem.

 

Otrkārt, Apachei vajag atļaut rakstīt tikai tur, kur tai jābūt atļaujai rakstīt. Manuāli 777 uz folderiem, kur nepieciešama atļauja rakstīt un viss. Globāli webroot mapei jābūt 755, rakstāmām direktorijām 777 vai 775 ja neprasa rakstīt 3rd parti optiem. Ja tavs šwebmasters ir tik slinks, ka nespēj salikt permisijas, uzraksti cronskriptu, kas permisijas saliek viņa vietā, tām direktorijām, kurām rakstīšana ir nepieciešama, ik pa kādam brīdim.

Edited September 29, 2012 by F3llony

[nemec]

Vai nav labāk, ja katras lapas process tiek darbināts no konkrētā lietotāja puses? Un tad nebūs ar tiesībām nekādu problēmu un arī svešs lietotājs neierakstīs citā mapē. Vispār visas problēmas atkrīt :)

Kāpēc neglabāt webu home mapē?

[F3llony]

Ja tāda ir tava izpratne par drošību un tiesībām, tev jau ir problēmas... Un home mapē neglabāt tāpēc, ka a: home mape ir paredzēta lietotāja datiem b: lai nebūtu problēmu ar permisiju menedžēšanu, kad jūzerim x jātiek jūzera y vhostā un c: tapēc, lai cilvēkiem nebūtu jātērē laiks meklējot kur katrs idiots ir nobāzis vhostus. d: ne visu mūžu izmantosi apači ar suexec. Un ja visu mūžu, tev atkal ir problēma.

[marrtins]

Un jautājums ir kāds? :)) Varbūt umask palīdz? http://serverfault.com/questions/228396/how-to-setup-sshs-umask-for-all-type-of-connections

[ieleja]

tur jau tā lieta (man liekas, ka es par to galvenokārt rakstīju), ka šis:

Subsystem sftp internal-sftp -u 0002

tiek ignorēts, t.i. umask parametrs neņemas vērā

[marrtins]

Pats klients nemaina modes?

[ieleja]

filezilla, winscp, linux sftp, far manager pēc noklusēšanas taisa 755, protams, ja webmaster1 ir tiesības rakstīt folderī, tad subfolderim var nomainīt tiesības no 755 uz 775

[mad182]

Un home mapē neglabāt tāpēc, ka a: home mape ir paredzēta lietotāja datiem b: lai nebūtu problēmu ar permisiju menedžēšanu, kad jūzerim x jātiek jūzera y vhostā..

Ja tas ir šārēts serveris, kuru izmanto vairāki nesaistīti lietotāji, tad tie mājas lapas faili pa lielam arī ir lietotāja dati. Un pie citu lietotāju failiem viņam nu nekādā gadījumā nav jātiek. Lietotajam ir sava mājas mape, kurā viņš glabā savus failus. Ja viņš vēlas lai tie ir pieejami citiem caur web, viņš tos liek public_html mapē.

 

Pirmkārt, no kurienes visi rauj, ka webi ir jāliek home vai pasarg print opt, vai vēl sazin kur? vhostiem jāstāv /var/www/domens.com. Punkts. Likums. Bez izņēmumiem. Visus kuri pārkāpj sist un dedzināt uz sārta. Labākajā gadījumā, aizliegt tuvoties web serverim pa 300 kilometriem.

Tātad SuSE izstrādātājus ir jādedzina uz sārta, ja viņiem noklusētais webroots ir

/srv/www ?

lighttpd izstrādātājus arī, jo viņi izvēlas /srv/httpd?

 

var - variable

srv - served

 

Ko tas saka mums priekšā? /var satur logus, visādus pagaidu failus, cache, spool, meilu un citu drazu. Tam, kurš izdomāja, ka tur uz ubuntu, debian un tamlīdzīgiem būtu jāliek arī mājas lapas vispār ir bijusi ļoti apšaubāma loģika.

Edited October 1, 2012 by mad182

[F3llony]

Vispār jau services, ne served. Tā vismaz domā FHS standarts. Bet nevaru nepiekrist, srv ir otra/pirmā (kā kuram) vieta, kur likt www. Pašam uz suses arī stāv srv/www. :) Šis gan bija kā outrage par to, ka visi met webus kur kam ienāk prātā. Kāds gudrinieks pacenšas arī /opt/blablabla/blablabla/ iemest lapu, cits zem /usr/share, cits vēl kaut kur. Pēc tam ej atrodi.

 

Par home nepiekrītu - ja uz home izolāciju paļaujas lai izolētu dažādu lietotāju lapas, tur ir problēmas attieksmē un drošībā.

[marrtins]

Kāds sakars ar drošību tam, kurā mapē lapa atrodas? Un vispār, kāda vella pēc nevarātu izvietot lapas /bab/abaffasr/23r/asdf/432rdc/axcwdf/34/adad/asgw/teh/rthr4jh/34t45/435/435 folderī? Ko tas reāli maina?

[aaxc]

Kautvai tāpēc, ka nākamais admins, kas nāks pēc tevis, pavadīs pus dienu meklējot, kur un ko tu esi iebāzis un nolādēs tevi visus zināmos un nezināmos lamuvārdos.

Edited October 2, 2012 by aaxc

[marrtins]

Pasties apache konfigu - 1min.

Tas ir tāpat kā pateikt: tualetei dzīvoklī/mājā jābūt ienākot uzreiz pa labi.

Edited October 2, 2012 by marrtins

[aaxc]

Pasties apache konfigu - 1min.

Tas ir tāpat kā pateikt: tualetei dzīvoklī/mājā jābūt ienākot uzreiz pa labi.

A man ir uzreiz pa labi ;)

[F3llony]

Man ir taisni. Bet tualete pilnīgi noteikti nav izejot cauri virtuvei, tad divām istabām un pa tuneli aizejot uz kaimiņu māju.

P.S webs jau sen neaprobežojas ar apachi vien, ir node, nginx, go utml jaukumi. Nodes js arī esmu redzējis visdažādākajās mapēs, un atrast jamas patiesībā nemaz nav tik viegli. Ej meklē kur ceļi sarakstīti initskriptos.

Edited October 2, 2012 by F3llony