abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 05:55 | Zajímavý článek

Článek na Fedora Magazine krátce představuje programovací jazyk Rust a několik zajímavých v Rustu naprogramovaných terminálových aplikací. Jedná se o alternativu k příkazu grep ripgrep, moderní barevnou alternativu k příkazu ls exa, příkazem cloc inspirovaný tokei a zvířátko v terminálu ternimal.

Ladislav Hagara | Komentářů: 0
včera 23:55 | Zajímavý projekt

Byl spuštěn Humble Classics Return Bundle. Za vlastní cenu lze koupit hry Broken Sword 5 - The Serpent's Curse, Shadowrun Returns a Shadowrun: Dragonfall - Director's Cut. Při nadprůměrné platbě (aktuálně 8,48 $) také Shadowrun: Hong Kong - Extended Edition, Wasteland 2: Director's Cut - Standard Edition, Age of Wonders III a Xenonauts. Při platbě 15 $ a více lze získat navíc Torment: Tides of Numenera a Dreamfall Chapters: The Final Cut Edition.

Ladislav Hagara | Komentářů: 0
včera 00:11 | Bezpečnostní upozornění

Vývojáři linuxové distribuce Mageia na svém blogu upozorňují na narušení bezpečnosti Mageia Identity. Narušitel získal přístup k LDAP databázi a zveřejnil jména uživatelů, jejich emailové adresy a haše hesel. Hesla uživatelů byla resetována.

Ladislav Hagara | Komentářů: 1
20.2. 21:55 | Nová verze

Byla vydána verze 2.0.0 nástroje pro záznam a sdílení terminálových sezení asciinema (GitHub). Z novinek je nutno upozornit na nový zpětně nekompatibilní formát záznamu asciicast v2. S novým formátem si poradí nové verze asciinema-playeru a asciinema-serveru [Hacker News].

Ladislav Hagara | Komentářů: 0
20.2. 05:55 | Zajímavý projekt

Dle příspěvku na blogu zaměstnanců CZ.NIC byl spuštěn ostrý provoz služby Honeypot as a Service (HaaS). Zapojit se může kdokoli. Stačí se zaregistrovat a nainstalovat HaaS proxy, která začne příchozí komunikaci z portu 22 (běžně používaného pro SSH) přeposílat na server HaaS, kde honeypot Cowrie (GitHub) simuluje zařízení a zaznamenává provedené příkazy. Získat lze tak zajímavé informace o provedených útocích. K dispozici jsou globální statistiky.

Ladislav Hagara | Komentářů: 8
20.2. 04:44 | Komunita

Před týdnem společnost Feral Interactive zabývající se vydáváním počítačových her pro operační systémy macOS a Linux oznámila, že pro macOS a Linux vydají hru Rise of the Tomb Raider. Včera společnost oznámila (YouTube), že pro macOS a Linux vydají také hru Total War Saga: Thrones of Britannia. Verze pro Windows by měla vyjít 19. dubna. Verze pro macOS a Linux krátce na to.

Ladislav Hagara | Komentářů: 0
19.2. 21:33 | Nová verze

Byla vydána nová major verze 7.10 svobodného systému pro řízení vztahů se zákazníky (CRM) s názvem SuiteCRM (Wikipedie). Jedná se o fork systému SugarCRM (Wikipedie). Zdrojové kódy SuiteCRM jsou k dispozici na GitHubu pod licencí AGPL.

Ladislav Hagara | Komentářů: 0
19.2. 16:44 | Nová verze

Byla vydána nová verze 0.30 display serveru Mir (Wikipedie) a nová verze 2.31 nástrojů snapd pro práci s balíčky ve formátu snap (Wikipedie). Z novinek Miru vývojáři zdůrazňují vylepšenou podporu Waylandu nebo možnost sestavení a spouštění Miru ve Fedoře. Nová verze snapd umí Mir spouštět jako snap.

Ladislav Hagara | Komentářů: 0
19.2. 14:00 | Komunita

Na Indiegogo běží kampaň na podporu Sway Hackathonu, tj. pracovního setkání klíčových vývojářů s i3 kompatibilního dlaždicového (tiling) správce oken pro Wayland Sway. Cílová částka 1 500 dolarů byla vybrána již za 9 hodin. Nový cíl 2 000 dolarů byl dosažen záhy. Vývojáři přemýšlejí nad dalšími cíli.

Ladislav Hagara | Komentářů: 1
19.2. 11:11 | Nasazení Linuxu

Před dvěma týdny se skupina fail0verflow (Blog, Twitter, GitHub) pochlubila, že se jim podařilo dostat Linux na herní konzoli Nintendo Switch. O víkendu bylo Twitteru zveřejněno další video. Povedlo se jim na Nintendo Switch rozchodit KDE Plasmu [reddit].

Ladislav Hagara | Komentářů: 3
Který webový vyhledávač používáte nejčastěji?
 (2%)
 (28%)
 (62%)
 (2%)
 (3%)
 (0%)
 (1%)
 (1%)
Celkem 421 hlasů
 Komentářů: 35, poslední včera 19:51
    Rozcestník

    Dotaz: Omezení čtení souborů vyjma uživatelova home

    22.3.2008 00:31 happymaster23 | skóre: 9
    Omezení čtení souborů vyjma uživatelova home
    Přečteno: 543×
    Zdravím,

    v systému mám uživatele, kteří jsou zde pouze proto, aby se pomocí nich (FTP) nahrál do jejich home obsah webu. Tato skupina má (měla by mít) maximálně omezený přístup. Aby nemohli číst soubory přes FTP mimo jejich home mám vyřešeno pomocí nastavení FTP serveru, který je nad jejich home nepustí. Doteď je to OK, nicméně tihle uživatelé můžou pomocí skriptů (php obvykle), číst obsah celého filesystému a to jednoduchým způsobem. Nejdřív si z globální proměnné $_SERVER zjistí, kde se jejich home ve filesystému nachází a potom už není problém pomocí jednoduchého skriptu (include "../../../etc/něco";) číst soubory co jsou v /proc či /etc atd. Z podstaty to je v pořádku, protože tyhle soubory mají nastavená práva tak, že je můžou číst všichni. Taky si nejsem jistý, na kolik je tohle nebezpečné, nicméně zkoušel jsem si tímto způsobem zobrazit nějaké systémové soubory na komerčních hostincích a tady jsem narazil - nefungovalo to. I proto si myslím, že není úplně vhodné, aby si každý mohl zobrazovat soubory jako /etc/passwd, apod.

    Měnit práva všech systémových souborů (tak aby je nemohli číst others) je asi jako jít se vzduchovkou na tank a to nemluvě o tom, že by díky tomu spousta věcí přestala fungovat. Proto se ptám - existuje nějaké jednoduché elegantní řešení, aby skripty, které nahrají běžní uživatelé nemohli číst data odjinud než z uživatelova home?

    Díky

    Odpovědi

    AraxoN avatar 22.3.2008 01:00 AraxoN | skóre: 45 | blog: slon_v_porcelane | Košice
    Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
    Riešenie pre PHP sa volá open_basedir a dá sa nastaviť pre každý adresár, či virtual host zvlášť (aby si užívatelia navzájom nešmejdili po adresároch):
    <VirtualHost *:80>
        ServerAdmin admin@example.com
        ServerName www.example.com
        ServerAlias example.com
        DocumentRoot /var/www/example.com/www
        <Directory /var/www/example.com/www>
            Options Indexes FollowSymLinks
            Order allow,deny
            Allow from all
            php_admin_value open_basedir /var/www/example.com
            AllowOverride AuthConfig FileInfo Indexes Limit
        </Directory>
        ErrorLog /var/www/example.com/logs/www.example.com-error.log
        CustomLog /var/www/example.com/logs/www.example.com-access.log combined env=!nologreq
    </VirtualHost>
    Pre iné jazyky než PHP je to potrebné riešiť zvlášť. Okrem toho PHP defaultne povoľuje spúšťanie príkazov ako napríklad cat, či ls, a pre tie už open_basedir neplatí, takže je dobré volania všetkých externých príkazov z PHP potom úplne zakázať.
    A fine is a tax for doing wrong. A tax is a fine for doing well.
    23.3.2008 00:45 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
    Díky za odpověď,

    hned zítra to vyzkouším.

    Jak se v php dá zakázat volání externích příkazů? Něco málo jsem hledal (netvrdím, že důkladně) a nic moc jsem nenašel. Snad jen něco ve smyslu disable_functions = . Nastavit safe_mode by asi bylo moc restriktivní, že?
    AraxoN avatar 23.3.2008 01:15 AraxoN | skóre: 45 | blog: slon_v_porcelane | Košice
    Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
    Safe mód bude v budúcej verzii (PHP6) odstránený a odporúčal by som nezvykať si na neho. Zakázať volania príkazov shellu sa dá práve cez disable_functions, kde je minimálne treba vymenovať všetky funkcie, ktorých popis začína slovami "Execute ...", napríklad odtiaľto: Program Execution Functions. Pozor ale - aj iné moduly a funkcie môžu obsahovať nechcené fičúry, ako napr. tento.

    Všetko toto rieši ale len PHP skripty, ak tam bude napr. Perl, tak ten treba riešiť zvlášť (nemám tušenie ako, keďže perl nie je môj obľúbený). Istým riešením by bolo prevádzkovať Apache v konfigurácii per-user, kedy je ku každému virtuálnemu hostu pridelený user, pod ktorým sa požiadavky vykonávajú. To by riešilo problém komplexne, bohužiaľ väčšina týchto per-user rozšírení nie je práve v stable vetve (aspoň naposledy čo som pozeral).
    A fine is a tax for doing wrong. A tax is a fine for doing well.
    22.3.2008 10:48 Dramon | skóre: 14
    Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
    Nejen na tento problém je určen SELinux, který Apache, potažmo PHP skript, nepustí nikam, kde nejsou správné bezpečnostní kontexty. Což je ve výchozím nastavení složka www serveru a jinak nic. Dají se povolit uživatelské adresáře. Pokus o čtení čehokoliv jiného je odmítnut
    Pokud používáš distribuci, kde SELinux nativně není, tak může být oříšek jej tam aplikovat. Možná AppArmor má stejné možnosti, nevím, neznám jej.
    22.3.2008 10:55 fixinko | skóre: 15 | Bratislava
    Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
    SELinux riesi len to, aby apache necital nic ine, co je v jeho TE, ale to aby si uzivatelia lozili po adresaroch (vramci apacha) riesi safe_mode pripadne open_basedir...
    22.3.2008 11:11 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
    AppArmor není tak obecný jako SELinux, ale pro mnoho účelů (včetně tohoto) by stačil. Navíc právě pro Apache má zajímavé rozšíření subprofilů (hats), které umožňují odlišná oprávnění v závislosti na URL.
    23.3.2008 00:51 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
    Díky za odpovědi,

    distribuci se SELinuxem používám (CentOS 5), nicméně jsem ho na dobu neurčitou přepnul do tolerantního módu, protože jsem měnil výchozí adresáře pro Apache, MySQL a instaloval ProFTPd a pro to všechno se do SELinuxu musí přidat pravidla, čemuž jsem zatím nijak moc nepřišel na kloub (resp. snažil jsem se to řešit zde).

    Stejně si ale myslím (jako fixinko), že by tady stejně SELinux nepomohl, protože to nečte Apache, ale přímo ten skript toho uživatele.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.