abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 0
dnes 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
včera 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 12
včera 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 8
včera 14:15 | Nová verze

Byla vydána verze 7.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Jedná se o první stabilní verzi nejnovější větvě 7.1. Přehled novinek v dokumentaci. Podrobnosti v ChangeLogu. K dispozici je také příručka pro přechod z PHP 7.0.x na PHP 7.1.x.

Ladislav Hagara | Komentářů: 2
včera 12:55 | Nová verze

Google Chrome 55 byl prohlášen za stabilní. Nejnovější stabilní verze 55.0.2883.75 tohoto webového prohlížeče přináší řadu oprav a vylepšení (YouTube). Opraveno bylo také 36 bezpečnostních chyb. Mariusz Mlynski si například vydělal 22 500 dolarů za 3 nahlášené chyby (Universal XSS in Blink).

Ladislav Hagara | Komentářů: 4
včera 11:55 | Pozvánky

Máte rádi svobodný software a hardware nebo se o nich chcete něco dozvědět? Přijďte na 135. sraz spolku OpenAlt, který se bude konat ve čtvrtek 8. prosince od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Sraz bude tentokrát tématický. Bude retro! K vidění budou přístroje jako Psion 5mx nebo Palm Z22. Ze svobodného hardwaru pak Openmoko nebo čtečka WikiReader. Přijďte se i vy pochlubit svými legendami, nebo alespoň na pivo. Moderní hardware má vstup samozřejmě také povolen.

xkucf03 | Komentářů: 0
včera 00:10 | Nová verze

Byla vydána verze 3.2 svobodného systému pro detekci a prevenci průniků a monitorování bezpečnosti počítačových sítí Suricata. Z novinek lze zmínit například podporu protokolů DNP3 a CIP/ENIP, vylepšenou podporu TLS a samozřejmě také aktualizovanou dokumentaci.

Ladislav Hagara | Komentářů: 0
1.12. 21:00 | Nová verze

Byla vydána beta verze Linux Mintu 18.1 s kódovým jménem Serena. Na blogu Linux Mintu jsou hned dvě oznámení. První o vydání Linux Mintu s prostředím MATE a druhé o vydání Linux Mintu s prostředím Cinnamon. Stejným způsobem jsou rozděleny také poznámky k vydání (MATE, Cinnamon) a přehled novinek s náhledy (MATE, Cinnamon). Linux Mint 18.1 bude podporován až do roku 2021.

Ladislav Hagara | Komentářů: 0
1.12. 16:42 | Nová verze

Byl vydán Devuan Jessie 1.0 Beta 2. Jedná se o druhou beta verzi forku Debianu bez systemd představeného v listopadu 2014 (zprávička). První beta verze byla vydána v dubnu letošního roku (zprávička). Jedna z posledních přednášek věnovaných Devuanu proběhla v listopadu na konferenci FSCONS 2016 (YouTube, pdf).

Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 764 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Omezení čtení souborů vyjma uživatelova home

22.3.2008 00:31 happymaster23 | skóre: 9
Omezení čtení souborů vyjma uživatelova home
Přečteno: 540×
Zdravím,

v systému mám uživatele, kteří jsou zde pouze proto, aby se pomocí nich (FTP) nahrál do jejich home obsah webu. Tato skupina má (měla by mít) maximálně omezený přístup. Aby nemohli číst soubory přes FTP mimo jejich home mám vyřešeno pomocí nastavení FTP serveru, který je nad jejich home nepustí. Doteď je to OK, nicméně tihle uživatelé můžou pomocí skriptů (php obvykle), číst obsah celého filesystému a to jednoduchým způsobem. Nejdřív si z globální proměnné $_SERVER zjistí, kde se jejich home ve filesystému nachází a potom už není problém pomocí jednoduchého skriptu (include "../../../etc/něco";) číst soubory co jsou v /proc či /etc atd. Z podstaty to je v pořádku, protože tyhle soubory mají nastavená práva tak, že je můžou číst všichni. Taky si nejsem jistý, na kolik je tohle nebezpečné, nicméně zkoušel jsem si tímto způsobem zobrazit nějaké systémové soubory na komerčních hostincích a tady jsem narazil - nefungovalo to. I proto si myslím, že není úplně vhodné, aby si každý mohl zobrazovat soubory jako /etc/passwd, apod.

Měnit práva všech systémových souborů (tak aby je nemohli číst others) je asi jako jít se vzduchovkou na tank a to nemluvě o tom, že by díky tomu spousta věcí přestala fungovat. Proto se ptám - existuje nějaké jednoduché elegantní řešení, aby skripty, které nahrají běžní uživatelé nemohli číst data odjinud než z uživatelova home?

Díky

Odpovědi

AraxoN avatar 22.3.2008 01:00 AraxoN | skóre: 45 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
Riešenie pre PHP sa volá open_basedir a dá sa nastaviť pre každý adresár, či virtual host zvlášť (aby si užívatelia navzájom nešmejdili po adresároch):
<VirtualHost *:80>
    ServerAdmin admin@example.com
    ServerName www.example.com
    ServerAlias example.com
    DocumentRoot /var/www/example.com/www
    <Directory /var/www/example.com/www>
        Options Indexes FollowSymLinks
        Order allow,deny
        Allow from all
        php_admin_value open_basedir /var/www/example.com
        AllowOverride AuthConfig FileInfo Indexes Limit
    </Directory>
    ErrorLog /var/www/example.com/logs/www.example.com-error.log
    CustomLog /var/www/example.com/logs/www.example.com-access.log combined env=!nologreq
</VirtualHost>
Pre iné jazyky než PHP je to potrebné riešiť zvlášť. Okrem toho PHP defaultne povoľuje spúšťanie príkazov ako napríklad cat, či ls, a pre tie už open_basedir neplatí, takže je dobré volania všetkých externých príkazov z PHP potom úplne zakázať.
A fine is a tax for doing wrong. A tax is a fine for doing well.
23.3.2008 00:45 happymaster23 | skóre: 9
Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
Díky za odpověď,

hned zítra to vyzkouším.

Jak se v php dá zakázat volání externích příkazů? Něco málo jsem hledal (netvrdím, že důkladně) a nic moc jsem nenašel. Snad jen něco ve smyslu disable_functions = . Nastavit safe_mode by asi bylo moc restriktivní, že?
AraxoN avatar 23.3.2008 01:15 AraxoN | skóre: 45 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
Safe mód bude v budúcej verzii (PHP6) odstránený a odporúčal by som nezvykať si na neho. Zakázať volania príkazov shellu sa dá práve cez disable_functions, kde je minimálne treba vymenovať všetky funkcie, ktorých popis začína slovami "Execute ...", napríklad odtiaľto: Program Execution Functions. Pozor ale - aj iné moduly a funkcie môžu obsahovať nechcené fičúry, ako napr. tento.

Všetko toto rieši ale len PHP skripty, ak tam bude napr. Perl, tak ten treba riešiť zvlášť (nemám tušenie ako, keďže perl nie je môj obľúbený). Istým riešením by bolo prevádzkovať Apache v konfigurácii per-user, kedy je ku každému virtuálnemu hostu pridelený user, pod ktorým sa požiadavky vykonávajú. To by riešilo problém komplexne, bohužiaľ väčšina týchto per-user rozšírení nie je práve v stable vetve (aspoň naposledy čo som pozeral).
A fine is a tax for doing wrong. A tax is a fine for doing well.
22.3.2008 10:48 Dramon | skóre: 14
Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
Nejen na tento problém je určen SELinux, který Apache, potažmo PHP skript, nepustí nikam, kde nejsou správné bezpečnostní kontexty. Což je ve výchozím nastavení složka www serveru a jinak nic. Dají se povolit uživatelské adresáře. Pokus o čtení čehokoliv jiného je odmítnut
Pokud používáš distribuci, kde SELinux nativně není, tak může být oříšek jej tam aplikovat. Možná AppArmor má stejné možnosti, nevím, neznám jej.
22.3.2008 10:55 fixinko | skóre: 15 | Bratislava
Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
SELinux riesi len to, aby apache necital nic ine, co je v jeho TE, ale to aby si uzivatelia lozili po adresaroch (vramci apacha) riesi safe_mode pripadne open_basedir...
22.3.2008 11:11 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
AppArmor není tak obecný jako SELinux, ale pro mnoho účelů (včetně tohoto) by stačil. Navíc právě pro Apache má zajímavé rozšíření subprofilů (hats), které umožňují odlišná oprávnění v závislosti na URL.
23.3.2008 00:51 happymaster23 | skóre: 9
Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home
Díky za odpovědi,

distribuci se SELinuxem používám (CentOS 5), nicméně jsem ho na dobu neurčitou přepnul do tolerantního módu, protože jsem měnil výchozí adresáře pro Apache, MySQL a instaloval ProFTPd a pro to všechno se do SELinuxu musí přidat pravidla, čemuž jsem zatím nijak moc nepřišel na kloub (resp. snažil jsem se to řešit zde).

Stejně si ale myslím (jako fixinko), že by tady stejně SELinux nepomohl, protože to nečte Apache, ale přímo ten skript toho uživatele.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.