سناریوی امنیت سمت سرور
|
2005-01-03, 12:17 AM,
ارسال : #1
|
|||
|
|||
سناریوی امنیت سمت سرور
من روی یه سیستم برای کارم plog نصب کردم ، توی این سیستم یوزر من navid هست و با یوزر آپاچیشون فرق داره.
حالا برای نصب و کار با plog یا هر سیستم دیگهای لازمه که من مجوز نوشتن رو برای other تصدیق کنم که در غیر این صورت فایل ها یا دایرکتوریها ReadOnly میشوند و برنامه کار نمیکنه. خوب حالا که من به دیگران اجازهی اجرا یا X رو همراه با نوشتن و W دادم ، این کارم میتونه باعث بشه که یکی از بیرون سیستم روی سرور من چیزی بنویسه؟ اگر اینطوره پس من چه باید بکنم تا این سیستم نصب بشه؟ (سیستم حتی در حالتی که من خودم اجازهی هیچی ندارم و other اجازهی -wx دارند کار میکنه یعنی خودم هیچ کارهام؟!!) [ltr] $Nəvid$ In a world without any fences or walls, Who needs gates or windows ? گنو ایران | لیست مقالات فارسی گنو ایران | [/ltr] |
|||
2005-01-03, 06:59 AM,
ارسال : #2
|
|||
|
|||
شما فقط به کاربر آپاچی که تو سوزه wwwrun اجازه نوشتن و دسترسی بدین کافیه. چون اونه که داره کارارو میکنه.
When you say "I wrote a program that crashed Windows", people just stare at you blankly and say "Hey, I got those with the system, *for free*". -- Linus Torvalds |
|||
2005-01-03, 08:50 AM,
ارسال : #3
|
|||
|
|||
بله فقط کاربر آپاچی که توی دبیان www-data هست...
[ltr]Life *free = new Life(const long OpenSource);[/ltr] |
|||
2005-01-03, 11:22 AM,
ارسال : #4
|
|||
|
|||
اینقدر سواب ها در باره سوزه بود فکر کردم بازم قضیه اونه
Redhat and Fedore: apache:apache Dear Slackware:nobody:nobody Suse:wwwrun Debian:www-data که الن گفتند. When you say "I wrote a program that crashed Windows", people just stare at you blankly and say "Hey, I got those with the system, *for free*". -- Linus Torvalds |
|||
2005-01-03, 12:33 PM,
ارسال : #5
|
|||
|
|||
سلام
خوب برای همین کار دارم به Other اجازهی نوشتن میدم تا کاربر آپاچی هم بتونه ، من Navid هستم عضو گروه Users و کاربر آپاچی با من و گروه من رابطهای نداره بنا براین مجبورم به Other این مجوز رو بدم ... من این جا مدیر سیستم نیستمها ! من کاربرم که بهم یه یوزر با یه ssh دادند ... حالا چه کنم که فقط کاربر آپاچی بتونه بنویسه؟ راستی اگر oWNER رو کاربر آپاچی کنم که دیگه خودم نمیتونم کاری بکنم و در ضمن این کار رو هم نیتونم بکنم چون مجوز ریشه میخواد! [ltr] $Nəvid$ In a world without any fences or walls, Who needs gates or windows ? گنو ایران | لیست مقالات فارسی گنو ایران | [/ltr] |
|||
2005-01-04, 04:46 AM,
ارسال : #6
|
|||
|
|||
کسی میتونه یکمی بیشتر توضیح بده تا روشن تر شه ؟!
[ltr] $Nəvid$ In a world without any fences or walls, Who needs gates or windows ? گنو ایران | لیست مقالات فارسی گنو ایران | [/ltr] |
|||
2005-01-04, 08:25 AM,
ارسال : #7
|
|||
|
|||
پس با این حساب باید همون ۷۷۷ بگذارید... مشکلی نداره... کل نرمافزار رو که ۷۷۷ نمیکنید، فقط دایرکتوریهای خاصی رو دیگه؟
|
|||
2005-01-04, 03:39 PM,
ارسال : #8
|
|||
|
|||
آره دایکرتوریهای خاصی را 747 میکنم اما همون دایرکتویها وفایل ها حساس ترینها هستند !!
[ltr] $Nəvid$ In a world without any fences or walls, Who needs gates or windows ? گنو ایران | لیست مقالات فارسی گنو ایران | [/ltr] |
|||
2005-01-05, 01:42 PM,
ارسال : #9
|
|||
|
|||
[ltr]
salam , Apache mamulan az tarighe httpd.conf : # user nobody # group nobody etefade mikone baraye rah andakhtane servicesh httpd. aghar shoma dar htdoc (document Directory rw-r--r-- dashte bashid kafi hast. Walli aghar USER NAVID bekhad dar in HTDOC File benewise wa ejra kone bayad ozwe goruhi beshe ke daemon httpd azash estefadeh mikoen. ya inke bayad az SUEXEC (miodul) estafedeh konid ta betawanid ba USER haye dighar barname ejra konid. be nazare man mitundi yek USer wa Groruh be name WEB dorost konid wa be in goruh : 775 bedin. Dar zemin user haye dighe mitunan da in goruh wared beshan wa bername ejra konand ya inke file benewisan. [/ltr] |
|||
2005-01-05, 02:33 PM,
ارسال : #10
|
|||
|
|||
من هم مشکلم همینه من روی سرور کاربری جدای کاربر آپاچی دارم ... ؟
[ltr] $Nəvid$ In a world without any fences or walls, Who needs gates or windows ? گنو ایران | لیست مقالات فارسی گنو ایران | [/ltr] |
|||
2005-01-07, 05:49 PM,
ارسال : #11
|
|||
|
|||
Navid jan bebakhshid man Farsim kheili zaife wa daram kam kam yad mighiram.
Manzoor az karbari chie aghar shoma access be serveretun az tarighe SSH ya telnet darid wa Root remotely mitune login kone, dighe ehtiaj be chize dighari nadarin, joz inke warede httpd.conf beshin modify konid wa ba shell command kar konid. ? |
|||
2005-01-08, 12:39 PM,
ارسال : #12
|
|||
|
|||
خواهش فکر کنم یکمی بد گفتم ... من یه کاربر ساده دارم بالا هم گفتم یه سرور اجاره کردم که مثلا به 30 نفر هاست داده برای هر نفر هم یه کاربر به اسمش ساخته و این 30 نفر کاربر در دایرکتوری خانگی یه public_html دارند و با کاربر اصلی آپاچی یعنی www-data هم متفاوتند.
[ltr] $Nəvid$ In a world without any fences or walls, Who needs gates or windows ? گنو ایران | لیست مقالات فارسی گنو ایران | [/ltr] |
|||
2005-01-08, 04:52 PM,
ارسال : #13
|
|||
|
|||
دقیقا سوالی که من هم دارم همینه، من رو دستگاه خودم راحت می تونم فایلهای درون شاخه public_html را توسط chown به کاربر wwwrun بدم و اونوقت permission را رو 700 مثلا تنظیم کنم تا کاربر دیگری نتونه به فایهای شاخه htdocs من دسترسی داشته باشه، ولی مساله اینجاست که برای این chown کردن من باید root باشم که خوب همچین کاری را رو یک سرور دیگه نمیشه انجام داد، چون من root نیستم! بنابر این این مساله پیش میاد که رو اون سرور دیگه کاربر های دیگه می تونن به شاخه htdocs من که ناچارا اختیاراتش 777 هست دسترسی داشته باشن، درسته؟ خب، حالا چیکار میشه کرد؟ من تا حالا همیشه همین کار را میکردم، یعنی اختیارات را 777 میدم، مخصوصا وقتی که مثلا می خواستم با PHP درون شاخه ای از سرور بنویسم، ولی الان که یک چند وقته به permission ها بیشتر اهمیت می دم واقعا عذاب وجدان میگیرم هر وقت که اینکار را میکنم!
وقتی میبینم اکثر کد نویسیم به ریختن دیتا تو دیتابیس میگذره، احساس میکنم که یک فرغون بیشتر نیستم. |
|||
2005-01-08, 06:42 PM,
ارسال : #14
|
|||
|
|||
بیژن یه راحش اینه که کاربر شما عضو گروه www-data باشند که این طوری میتونید Other و Group رو هم مجوز فقط خوندن بدید و کاربر شما وقتی 7 رو داره یعنی 744 هست این وقت کاربرای بیرون سیستم و توی سیستم مجوز نوشتن ندارند اما سیستم میتونه خیلی خوب کار کنه ...
درسته جهان یا سایر دوستان ماهر تر؟ اما بد بختی من اینه که سرور من ما ر عضو این گروههم نمیکنه !!! [ltr] $Nəvid$ In a world without any fences or walls, Who needs gates or windows ? گنو ایران | لیست مقالات فارسی گنو ایران | [/ltr] |
|||
2005-01-09, 11:10 PM,
ارسال : #15
|
|||
|
|||
ما که باید کاربر فایلمون را به wwwdata تغییر بدیم (هیچ خط فاصله ای بین www و data نیست، برای تاکید بیشتر!) خب اونوقت ما میشیم فقط عضو گروه wwwdata، یعنی از اون 744 تنها 4 به ما میرسه! اینهم چندان کار جالبی نیست! من فکر میکنم بشه از اون chmod +t یکجورهایی اینجا استفاده کرد، نه؟
|
|||
2005-01-09, 11:19 PM,
ارسال : #16
|
|||
|
|||
این یارو قبلی من بودم!
وقتی میبینم اکثر کد نویسیم به ریختن دیتا تو دیتابیس میگذره، احساس میکنم که یک فرغون بیشتر نیستم. |
|||
2005-06-18, 12:52 AM,
ارسال : #17
|
|||
|
|||
سلام .
من به دنبال مقالات فارسی در مورد ساختار داخلی لینوکس می گردم . آیا شما چیزی در این رابطه دارید. اگر دارید ممنون می شم که برایم میل کنید . <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->alan, |
|||
2005-06-19, 12:49 PM,
ارسال : #18
|
|||
|
|||
ما اینجا معمولا چیزی را پست نمیکنیم برای کسی! شما به قسمت مقالات اینجا سر بزنی چیزهای خیلی خوبی پیدا میکنی، در ضمن گوگل هم میتونه کمک خوبی باشه. در عین حال معمولا از بقیه سراغ لینک را بگیر، نه ایمیل زدن، یک کم حالت جالبی نداره...
وقتی میبینم اکثر کد نویسیم به ریختن دیتا تو دیتابیس میگذره، احساس میکنم که یک فرغون بیشتر نیستم. |
|||
|