abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 05:55 | Zajímavý projekt

Dle příspěvku na blogu zaměstnanců CZ.NIC byl spuštěn ostrý provoz služby Honeypot as a Service (HaaS). Zapojit se může kdokoli. Stačí se zaregistrovat a nainstalovat HaaS proxy, která začne příchozí komunikaci z portu 22 (běžně používaného pro SSH) přeposílat na server HaaS, kde honeypot Cowrie (GitHub) simuluje zařízení a zaznamenává provedené příkazy. Získat lze tak zajímavé informace o provedených útocích. K dispozici jsou globální statistiky.

Ladislav Hagara | Komentářů: 0
dnes 04:44 | Komunita

Před týdnem společnost Feral Interactive zabývající se vydáváním počítačových her pro operační systémy macOS a Linux oznámila, že pro macOS a Linux vydají hru Rise of the Tomb Raider. Včera společnost oznámila (YouTube), že pro macOS a Linux vydají také hru Total War Saga: Thrones of Britannia. Verze pro Windows by měla vyjít 19. dubna. Verze pro macOS a Linux krátce na to.

Ladislav Hagara | Komentářů: 0
včera 21:33 | Nová verze

Byla vydána nová major verze 7.10 svobodného systému pro řízení vztahů se zákazníky (CRM) s názvem SuiteCRM (Wikipedie). Jedná se o fork systému SugarCRM (Wikipedie). Zdrojové kódy SuiteCRM jsou k dispozici na GitHubu pod licencí AGPL.

Ladislav Hagara | Komentářů: 0
včera 16:44 | Nová verze

Byla vydána nová verze 0.30 display serveru Mir (Wikipedie) a nová verze 2.31 nástrojů snapd pro práci s balíčky ve formátu snap (Wikipedie). Z novinek Miru vývojáři zdůrazňují vylepšenou podporu Waylandu nebo možnost sestavení a spouštění Miru ve Fedoře. Nová verze snapd umí Mir spouštět jako snap.

Ladislav Hagara | Komentářů: 0
včera 14:00 | Komunita

Na Indiegogo běží kampaň na podporu Sway Hackathonu, tj. pracovního setkání klíčových vývojářů s i3 kompatibilního dlaždicového (tiling) správce oken pro Wayland Sway. Cílová částka 1 500 dolarů byla vybrána již za 9 hodin. Nový cíl 2 000 dolarů byl dosažen záhy. Vývojáři přemýšlejí nad dalšími cíli.

Ladislav Hagara | Komentářů: 1
včera 11:11 | Nasazení Linuxu

Před dvěma týdny se skupina fail0verflow (Blog, Twitter, GitHub) pochlubila, že se jim podařilo dostat Linux na herní konzoli Nintendo Switch. O víkendu bylo Twitteru zveřejněno další video. Povedlo se jim na Nintendo Switch rozchodit KDE Plasmu [reddit].

Ladislav Hagara | Komentářů: 3
včera 05:55 | Komunita

Byla vydána vývojová verze 3.2 softwaru Wine (Wikipedie), tj. softwaru, který vytváří aplikační rozhraní umožňující chod aplikací pro Microsoft Windows také pod GNU/Linuxem. Z novinek lze zdůraznit například podporu HID gamepadů. Aktuální stabilní verze Wine je 3.0, viz verzování. Nejistá je budoucnost testovací větve Wine Staging s řadou experimentálních vlastností. Současní vývojáři na ni již nemají čas. Alexandre Julliard, vedoucí projektu Wine, otevřel v diskusním listu wine-devel diskusi o její budoucnosti.

Ladislav Hagara | Komentářů: 2
18.2. 16:55 | Komunita

Do 22. března se lze přihlásit do dalšího kola programu Outreachy (Wikipedie), jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 14. května do 14. srpna 2018, v participujících organizacích lze vydělat 5 500 USD.

Ladislav Hagara | Komentářů: 51
17.2. 15:44 | Komunita

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice dnes slaví 6 let od svého oficiálního vzniku. Nadace byla představena 28. září 2010. Formálně ale byla založena až 17. února 2012. Poslední lednový den byl vydán LibreOffice 6.0. Dle zveřejněných statistik byl za dva týdny stažen již cca milionkrát.

Ladislav Hagara | Komentářů: 1
17.2. 04:44 | Bezpečnostní upozornění

CSIRT.CZ upozorňuje, že byla vydána nová verze 1.2.3 svobodného routovacího démona Quagga (Wikipedie) přinášející několik bezpečnostních záplat. Při nejhorší variantě může dojít až k ovládnutí běžícího procesu, mezi dalšími možnostmi je únik informací z běžícího procesu nebo odepření služby DoS. Konkrétní zranitelnosti mají následující ID CVE-2018-5378, CVE-2018-5379, CVE-2018-5380 a CVE-2018-5381.

Ladislav Hagara | Komentářů: 0
Který webový vyhledávač používáte nejčastěji?
 (2%)
 (28%)
 (62%)
 (2%)
 (3%)
 (1%)
 (1%)
 (1%)
Celkem 384 hlasů
 Komentářů: 34, poslední 14.2. 18:44
    Rozcestník

    Dotaz: PHP system() - práva roota

    FrostyX avatar 13.6.2010 23:42 FrostyX | skóre: 27 | blog: Frostyho_blog | Olomouc / Jeseník
    PHP system() - práva roota
    Přečteno: 574×

    Ahoj, mám následující kód:

    $cmd = '/etc/init.d/dhcp3-server restart';
    $output = system($cmd);
    echo $output;

    Dostávám hlášku, že nemám dostatečné oprávnění. Když bych spustil něco jiného (příkladně ping), tak to funguje, takže je opravdu problém v právech. Mělo by to řešit sudoers, ale nějak se mi to nedařilo rozchodit, tak se ptám tu. Jak to rozchodit ? :-)

    Předem díky.

    FrostyX.cz | 1984 was not supposed to be an instruction manual.

    Řešení dotazu:


    Odpovědi

    Řešení 1× (PGD)
    Max avatar 14.6.2010 07:23 Max | skóre: 66 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: PHP system() - práva roota
    Ahoj, php běží pod nějakými právy. Pokud nepoužíváš nějaké wrapery, tak běží pod samými právy jako apache (nebo pod jakým webserverem php používáš). Ping ti jede, protože ten jede všem uživatelům a jelikož vyžaduje rootovská práva, tak má nastaven setuid bit.

    Ovšem setuid bit můžeš nastavit jen na binární soubory, nikoli na skripty (ty se totiž nespouštějí přímo, ale přes interpret, např. bash, takže by jsi muset nastavit set uid bit na bash, ale to by jsi si udělal pěknou díru do systému).

    Řešení, které mně napadá, je skutečně použít sudo a do sudoers zanést povolení pro uživatele apache a příkaz pak spouštět 'sudo /etc/init.d/dhcp3-server restart'.

    Pokud ten webserver používáš jen ty, tak by takovéto řešení bylo akceptovatelné. Pokud ho používá i někdo jiný (používáš ho třeba jako webserver pro několik domén), tak je to v případě, že nepoužíváš nějaký wraper na php, bezpečnostní ryziko. Vlastně každý uživatel webserveru by pak měl právo tyto služby spouštět a zastavovat, jelikož by mu php běželo pod stejným uživatelem a používalo stejné nastavení php.ini.
    Řešením by pak bylo spouštět php přes nějaký wraper, aby se daly nastavit práva(uživatel+skupina) pro konkrétní domény.
    Zdar Max
    Měl jsem sen ... :(
    14.6.2010 08:07 PGD | skóre: 3
    Rozbalit Rozbalit vše Re: PHP system() - práva roota
    Pokud má apache a běží mu na něm jen jeho aplikace, může ho kompilovat s prefixem -D-BIG_SECURITY-HOLE a spouštět jako root.
    FrostyX avatar 14.6.2010 17:27 FrostyX | skóre: 27 | blog: Frostyho_blog | Olomouc / Jeseník
    Rozbalit Rozbalit vše Re: PHP system() - práva roota
    Apache mi běží pouze na lokální síti. Napsal jsem si takovou menší administraci serveru ve webovém rozhraní (samozřejmně je relativně zabezpečená), takže k ní běžný uživatel nemá přístup. O bezpečnost bych se nebál. Mohl by jsi mi prosím napsat přesný řádek, který bych měl do toho /etc/sudoers/ napsat ? Já jsem to už zkoušel ale nefungovalo mi to. Díky.
    FrostyX.cz | 1984 was not supposed to be an instruction manual.
    14.6.2010 17:37 Vojtěch Horký | skóre: 39 | blog: Vojtův zápisník | Praha
    Rozbalit Rozbalit vše Re: PHP system() - práva roota
    Já jsem to už zkoušel ale nefungovalo mi to.
    Příště sem rovnou vložte, co jste tam napsal.
    Mohl by jsi mi prosím napsat přesný řádek, který bych měl do toho /etc/sudoers/ napsat ?
    Tohle by mělo fungovat (jen je možné, že místo apache běží PHP pod jiným uživatelem (např. http, www nebo nobody):
    # apache + dhcp3-server
    Cmnd_Alias DHCPSERVERCMD = /etc/init.d/dhcp3-server
    User_Alias DHCPSERVERGRP = apache
    DHCPSERVERGRP ALL=NOPASSWD : DHCPSERVERCMD
    A nezapomeňte použít visudo.
    I am always ready to learn although I do not always like to be taught. (W. Churchill)
    frEon avatar 14.6.2010 19:10 frEon | skóre: 40 | Praha
    Rozbalit Rozbalit vše Re: PHP system() - práva roota
    taky je moznost zabalit prikaz /etc/init.d/sluzba restart do perlovyho skriptu a tomu nastavit suid bit, ale cesta pres suexec je stejne nejlepsi a doporucene reseni ;-)
    Talking about music is like dancing to architecture.
    14.6.2010 19:14 VSi | skóre: 28
    Rozbalit Rozbalit vše Re: PHP system() - práva roota
    SUID bit na skriptu pokud vím nefunguje. Ve skutečnosti se spouští binární soubor interpretu perlu, atkže SUID by musel být ten. Ale to nejde, to by se všechny perl skripty pouštěly pod rootem.

    Čistá cesta je sudo, kde se povolí jen ten /etc/init.d/xxx nebo nějaký obalovací skript. Pouštět celé PHP pod rootem je zbytečné (suexec to ani nedovolí, mpm-itk možná).
    frEon avatar 14.6.2010 19:36 frEon | skóre: 40 | Praha
    Rozbalit Rozbalit vše Re: PHP system() - práva roota
    aaa, mas pravdu, me to funguje jenom protoze mam nainstalovanej perl-suid, kterej se o ten suid postara...
    Talking about music is like dancing to architecture.
    Max avatar 14.6.2010 19:17 Max | skóre: 66 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: PHP system() - práva roota
    Jaký je rozdíl mezi skriptem v bashi a v perlu? Žádný, oba jsou spouštěni interpretem. V případě bashe je to "/bin/sh" - "/bin/bash", v případě perlu "/usr/bin/perl". Nastavit set uid bit na perlovský skript si ničehož nepomůžeš ;-).
    Zdar Max
    Měl jsem sen ... :(
    14.6.2010 09:51 Lubos Kopecky | skóre: 32
    Rozbalit Rozbalit vše Re: PHP system() - práva roota
    resenim by pro tebe mohlo byt bud sudo s vydefinovanyma prikazama pro usera, pod kterym bezi apache, nebo apache2-mpm-itk, ktery umoznuje definovat usera, pod kterym danny virtualhost je spusten, kdy jednomu das proste roota... ale doporucuju tam pod tim virtualhostem nemit nic jinyho nez tyhle potrebny funkce a jeste si to poradne zabezpecit, jinak ti v systemu nekdo nadela peknou paseku...

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.