Jump to content
php.lv forumi

chroot priekš webmāstera


ieleja

Recommended Posts

vajag serverī (Debian 6, Apache2) iedot iespēju darboties webmāsteram, droši un lai viņam lieki nejauktu galvu. es nu daru tā:

 

=============================

/etc/ssh/sshd_config pielieku:

Subsystem sftp internal-sftp -u 0002

Match Group sftp

ChrootDirectory /home/webserver

ForceCommand internal-sftp

AllowTcpForwarding no

 

tad

 

useradd webmaster1

passwd webmaster1

usermod -s /bin/false webmaster1

usermod -d /home/webserver webmaster1

 

addgroup sftp

adduser webmaster1 sftp

 

adduser webmaster1 www-data

 

dati stāv:

/home/webserver/www

folderis pieder www-data:www-data, tiesības 775, g+s

 

pēc tam ar Filezilla, WinSCP tiek pie:

/home/webserver

kur atrodas:

/home/webserver/www

kurā ir dati ar kuriem webmaster1 var brīvi rīkoties

=============================

 

problēma ir, ka mans webmaster1 taisa folderus kas pieder webmaster1:www-data, bet ir ar 755 atribūtu

tas nozīmē, ka pēc tam apache vairs nevar tur rakstīt

Link to comment
Share on other sites

Pirmkārt, no kurienes visi rauj, ka webi ir jāliek home vai pasarg print opt, vai vēl sazin kur? vhostiem jāstāv /var/www/domens.com. Punkts. Likums. Bez izņēmumiem. Visus kuri pārkāpj sist un dedzināt uz sārta. Labākajā gadījumā, aizliegt tuvoties web serverim pa 300 kilometriem.

 

Otrkārt, Apachei vajag atļaut rakstīt tikai tur, kur tai jābūt atļaujai rakstīt. Manuāli 777 uz folderiem, kur nepieciešama atļauja rakstīt un viss. Globāli webroot mapei jābūt 755, rakstāmām direktorijām 777 vai 775 ja neprasa rakstīt 3rd parti optiem. Ja tavs šwebmasters ir tik slinks, ka nespēj salikt permisijas, uzraksti cronskriptu, kas permisijas saliek viņa vietā, tām direktorijām, kurām rakstīšana ir nepieciešama, ik pa kādam brīdim.

Edited by F3llony
Link to comment
Share on other sites

Vai nav labāk, ja katras lapas process tiek darbināts no konkrētā lietotāja puses? Un tad nebūs ar tiesībām nekādu problēmu un arī svešs lietotājs neierakstīs citā mapē. Vispār visas problēmas atkrīt :)

Kāpēc neglabāt webu home mapē?

Link to comment
Share on other sites

Ja tāda ir tava izpratne par drošību un tiesībām, tev jau ir problēmas... Un home mapē neglabāt tāpēc, ka a: home mape ir paredzēta lietotāja datiem b: lai nebūtu problēmu ar permisiju menedžēšanu, kad jūzerim x jātiek jūzera y vhostā un c: tapēc, lai cilvēkiem nebūtu jātērē laiks meklējot kur katrs idiots ir nobāzis vhostus. d: ne visu mūžu izmantosi apači ar suexec. Un ja visu mūžu, tev atkal ir problēma.

Link to comment
Share on other sites

Un home mapē neglabāt tāpēc, ka a: home mape ir paredzēta lietotāja datiem b: lai nebūtu problēmu ar permisiju menedžēšanu, kad jūzerim x jātiek jūzera y vhostā..

Ja tas ir šārēts serveris, kuru izmanto vairāki nesaistīti lietotāji, tad tie mājas lapas faili pa lielam arī ir lietotāja dati. Un pie citu lietotāju failiem viņam nu nekādā gadījumā nav jātiek. Lietotajam ir sava mājas mape, kurā viņš glabā savus failus. Ja viņš vēlas lai tie ir pieejami citiem caur web, viņš tos liek public_html mapē.

 

Pirmkārt, no kurienes visi rauj, ka webi ir jāliek home vai pasarg print opt, vai vēl sazin kur? vhostiem jāstāv /var/www/domens.com. Punkts. Likums. Bez izņēmumiem. Visus kuri pārkāpj sist un dedzināt uz sārta. Labākajā gadījumā, aizliegt tuvoties web serverim pa 300 kilometriem.

Tātad SuSE izstrādātājus ir jādedzina uz sārta, ja viņiem noklusētais webroots ir

/srv/www ?

lighttpd izstrādātājus arī, jo viņi izvēlas /srv/httpd?

 

var - variable

srv - served

 

Ko tas saka mums priekšā? /var satur logus, visādus pagaidu failus, cache, spool, meilu un citu drazu. Tam, kurš izdomāja, ka tur uz ubuntu, debian un tamlīdzīgiem būtu jāliek arī mājas lapas vispār ir bijusi ļoti apšaubāma loģika.

Edited by mad182
Link to comment
Share on other sites

Vispār jau services, ne served. Tā vismaz domā FHS standarts. Bet nevaru nepiekrist, srv ir otra/pirmā (kā kuram) vieta, kur likt www. Pašam uz suses arī stāv srv/www. :) Šis gan bija kā outrage par to, ka visi met webus kur kam ienāk prātā. Kāds gudrinieks pacenšas arī /opt/blablabla/blablabla/ iemest lapu, cits zem /usr/share, cits vēl kaut kur. Pēc tam ej atrodi.

 

Par home nepiekrītu - ja uz home izolāciju paļaujas lai izolētu dažādu lietotāju lapas, tur ir problēmas attieksmē un drošībā.

Link to comment
Share on other sites

Kautvai tāpēc, ka nākamais admins, kas nāks pēc tevis, pavadīs pus dienu meklējot, kur un ko tu esi iebāzis un nolādēs tevi visus zināmos un nezināmos lamuvārdos.

Edited by aaxc
Link to comment
Share on other sites

Man ir taisni. Bet tualete pilnīgi noteikti nav izejot cauri virtuvei, tad divām istabām un pa tuneli aizejot uz kaimiņu māju.

P.S webs jau sen neaprobežojas ar apachi vien, ir node, nginx, go utml jaukumi. Nodes js arī esmu redzējis visdažādākajās mapēs, un atrast jamas patiesībā nemaz nav tik viegli. Ej meklē kur ceļi sarakstīti initskriptos.

Edited by F3llony
Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
×
×
  • Create New...