abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 22:22 | Komunita

V Norimberku probíhá do neděle 28. května openSUSE Conference 2017. Na programu je celá řada zajímavých přednášek. Sledovat je lze online. K dispozici jsou také videozáznamy (YouTube) již proběhnuvších přednášek. Dění lze sledovat na Twitteru.

Ladislav Hagara | Komentářů: 0
včera 11:33 | IT novinky

Red Hat kupuje společnost Codenvy stojící za stejnojmenným webovým (cloudovým) integrovaným vývojovým prostředím (WIDE) postaveném na Eclipse Che.

Ladislav Hagara | Komentářů: 0
včera 08:55 | Nová verze

V listopadu 2014 byl představen fork Debianu bez systemd pojmenovaný Devuan. Po dva a půl roce jeho vývojáři oznámili vydání první stabilní verze 1.0. Jedná se o verzi s dlouhodobou podporou (LTS) a její kódové jméno je Jessie, podle planetky s katalogovým číslem 10 464.

Ladislav Hagara | Komentářů: 10
25.5. 20:22 | Zajímavý článek

Nadace Raspberry Pi vydala již osmapadesáté číslo (pdf) stostránkového anglicky psaného časopisu MagPi věnovanému Raspberry Pi a projektům postaveným na tomto jednodeskovém počítači a druhé číslo (pdf) časopisu Hello World primárně určeného pro učitele informatiky a výpočetní techniky.

Ladislav Hagara | Komentářů: 0
25.5. 19:55 | Humor

Portál Stack Overflow informuje na svém blogu, že pomohl ukončit editor Vim už více než milionu vývojářů. V loňském roce například hledal odpověď na otázku Jak ukončit editor Vim v průměru 1 z 20 000 návštěvníků.

Ladislav Hagara | Komentářů: 10
25.5. 19:22 | Nová verze

Po pěti měsících od vydání verze 3.5.0 byla vydána nová stabilní verze 3.6.0, tj. první z nové řady 3.6, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie). Z novinek lze zmínit například podporu dvou nových 64bitových platforem little-endian POWER machines (ppc64le) a IBM z Systems (s390x) nebo nové balíčky Rust 1.17.0, Cargo 0.18.0, GHC 8.0.2 a Julia 0.5.2.

Ladislav Hagara | Komentářů: 0
24.5. 21:33 | Bezpečnostní upozornění

V Sambě byla nalezena a opravena bezpečnostní chyba CVE-2017-7494. Má-li útočník právo ukládat soubory na vzdálený server, může tam uložit připravenou sdílenou knihovnu a přinutit smbd server k jejímu načtení a tím pádem ke spuštění libovolných příkazů. Chyba je opravena v upstream verzích 4.6.4, 4.5.10 a 4.4.14. Chyba se týká všech verzí Samby od verze 3.5.0 vydané 1. března 2010.

Ladislav Hagara | Komentářů: 7
24.5. 20:44 | Nová verze

Byla vydána nová stabilní verze 4.3.0 integrovaného vývojového prostředí (IDE) Qt Creator. Z novinek lze zmínit například integraci editoru kódu do Qt Quick Designeru.

Ladislav Hagara | Komentářů: 1
24.5. 20:11 | Bezpečnostní upozornění

Společnost Check Point informuje na svém blogu o novém vektoru útoku. Pomocí titulků lze útočit na multimediální přehrávače VLC, Kodi, Popcorn Time, Stremio a pravděpodobně i další. Otevření útočníkem připraveného souboru s titulky v neaktualizovaném multimediálním přehrávači může vést ke spuštění libovolných příkazů pod právy uživatele. Ukázka na YouTube. Chyba je opravena v Kodi 17.2 nebo ve VLC 2.2.6.

Ladislav Hagara | Komentářů: 14
23.5. 15:18 | Zajímavý software

CrossOver, komerční produkt založený na Wine, je dnes (23. 5. 2017) dostupný ve slevě. Roční předplatné linuxové verze vyjde s kódem TWENTYONE na $21, resp. $1 v případě IP z chudších zemí. Firma CodeWeavers, která CrossOver vyvíjí, významně přispívá do Wine. Přidaná hodnota CrossOver spočívá v přívětivějším uživatelském rozhraní, integraci do desktopu a podpoře.

Fluttershy, yay! | Komentářů: 27
Chystáte se pořídit CPU AMD Ryzen?
 (6%)
 (33%)
 (1%)
 (8%)
 (44%)
 (9%)
Celkem 627 hlasů
 Komentářů: 62, poslední 19.5. 01:57
    Rozcestník

    Dotaz: Omezení čtení souborů vyjma uživatelova home

    22.3.2008 00:31 happymaster23 | skóre: 9
    Omezení čtení souborů vyjma uživatelova home
    Přečteno: 543×
    Zdravím,

    v systému mám uživatele, kteří jsou zde pouze proto, aby se pomocí nich (FTP) nahrál do jejich home obsah webu. Tato skupina má (měla by mít) maximálně omezený přístup. Aby nemohli číst soubory přes FTP mimo jejich home mám vyřešeno pomocí nastavení FTP serveru, který je nad jejich home nepustí. Doteď je to OK, nicméně tihle uživatelé můžou pomocí skriptů (php obvykle), číst obsah celého filesystému a to jednoduchým způsobem. Nejdřív si z globální proměnné $_SERVER zjistí, kde se jejich home ve filesystému nachází a potom už není problém pomocí jednoduchého skriptu (include "../../../etc/něco";) číst soubory co jsou v /proc či /etc atd. Z podstaty to je v pořádku, protože tyhle soubory mají nastavená práva tak, že je můžou číst všichni. Taky si nejsem jistý, na kolik je tohle nebezpečné, nicméně zkoušel jsem si tímto způsobem zobrazit nějaké systémové soubory na komerčních hostincích a tady jsem narazil - nefungovalo to. I proto si myslím, že není úplně vhodné, aby si každý mohl zobrazovat soubory jako /etc/passwd, apod.

    Měnit práva všech systémových souborů (tak aby je nemohli číst others) je asi jako jít se vzduchovkou na tank a to nemluvě o tom, že by díky tomu spousta věcí přestala fungovat. Proto se ptám - existuje nějaké jednoduché elegantní řešení, aby skripty, které nahrají běžní uživatelé nemohli číst data odjinud než z uživatelova home?

    Díky

    Odpovědi

    AraxoN avatar 22.3.2008 01:00 AraxoN | skóre: 45 | blog: slon_v_porcelane | Košice
    Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
    Riešenie pre PHP sa volá open_basedir a dá sa nastaviť pre každý adresár, či virtual host zvlášť (aby si užívatelia navzájom nešmejdili po adresároch):
    <VirtualHost *:80>
        ServerAdmin admin@example.com
        ServerName www.example.com
        ServerAlias example.com
        DocumentRoot /var/www/example.com/www
        <Directory /var/www/example.com/www>
            Options Indexes FollowSymLinks
            Order allow,deny
            Allow from all
            php_admin_value open_basedir /var/www/example.com
            AllowOverride AuthConfig FileInfo Indexes Limit
        </Directory>
        ErrorLog /var/www/example.com/logs/www.example.com-error.log
        CustomLog /var/www/example.com/logs/www.example.com-access.log combined env=!nologreq
    </VirtualHost>
    Pre iné jazyky než PHP je to potrebné riešiť zvlášť. Okrem toho PHP defaultne povoľuje spúšťanie príkazov ako napríklad cat, či ls, a pre tie už open_basedir neplatí, takže je dobré volania všetkých externých príkazov z PHP potom úplne zakázať.
    A fine is a tax for doing wrong. A tax is a fine for doing well.
    23.3.2008 00:45 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
    Díky za odpověď,

    hned zítra to vyzkouším.

    Jak se v php dá zakázat volání externích příkazů? Něco málo jsem hledal (netvrdím, že důkladně) a nic moc jsem nenašel. Snad jen něco ve smyslu disable_functions = . Nastavit safe_mode by asi bylo moc restriktivní, že?
    AraxoN avatar 23.3.2008 01:15 AraxoN | skóre: 45 | blog: slon_v_porcelane | Košice
    Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
    Safe mód bude v budúcej verzii (PHP6) odstránený a odporúčal by som nezvykať si na neho. Zakázať volania príkazov shellu sa dá práve cez disable_functions, kde je minimálne treba vymenovať všetky funkcie, ktorých popis začína slovami "Execute ...", napríklad odtiaľto: Program Execution Functions. Pozor ale - aj iné moduly a funkcie môžu obsahovať nechcené fičúry, ako napr. tento.

    Všetko toto rieši ale len PHP skripty, ak tam bude napr. Perl, tak ten treba riešiť zvlášť (nemám tušenie ako, keďže perl nie je môj obľúbený). Istým riešením by bolo prevádzkovať Apache v konfigurácii per-user, kedy je ku každému virtuálnemu hostu pridelený user, pod ktorým sa požiadavky vykonávajú. To by riešilo problém komplexne, bohužiaľ väčšina týchto per-user rozšírení nie je práve v stable vetve (aspoň naposledy čo som pozeral).
    A fine is a tax for doing wrong. A tax is a fine for doing well.
    22.3.2008 10:48 Dramon | skóre: 14
    Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
    Nejen na tento problém je určen SELinux, který Apache, potažmo PHP skript, nepustí nikam, kde nejsou správné bezpečnostní kontexty. Což je ve výchozím nastavení složka www serveru a jinak nic. Dají se povolit uživatelské adresáře. Pokus o čtení čehokoliv jiného je odmítnut
    Pokud používáš distribuci, kde SELinux nativně není, tak může být oříšek jej tam aplikovat. Možná AppArmor má stejné možnosti, nevím, neznám jej.
    22.3.2008 10:55 fixinko | skóre: 15 | Bratislava
    Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
    SELinux riesi len to, aby apache necital nic ine, co je v jeho TE, ale to aby si uzivatelia lozili po adresaroch (vramci apacha) riesi safe_mode pripadne open_basedir...
    22.3.2008 11:11 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
    AppArmor není tak obecný jako SELinux, ale pro mnoho účelů (včetně tohoto) by stačil. Navíc právě pro Apache má zajímavé rozšíření subprofilů (hats), které umožňují odlišná oprávnění v závislosti na URL.
    23.3.2008 00:51 happymaster23 | skóre: 9
    Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
    Díky za odpovědi,

    distribuci se SELinuxem používám (CentOS 5), nicméně jsem ho na dobu neurčitou přepnul do tolerantního módu, protože jsem měnil výchozí adresáře pro Apache, MySQL a instaloval ProFTPd a pro to všechno se do SELinuxu musí přidat pravidla, čemuž jsem zatím nijak moc nepřišel na kloub (resp. snažil jsem se to řešit zde).

    Stejně si ale myslím (jako fixinko), že by tady stejně SELinux nepomohl, protože to nečte Apache, ale přímo ten skript toho uživatele.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.