abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 22:44 | Nová verze

Bylo oznámeno vydání KDE Frameworks 5.48.0, tj. nové verze aktuálně 72 knihoven rozšířujících multiplatformní framework Qt. Řešena je mimo jiné bezpečnostní chyba CVE-2018-10361 v KTextEditoru zneužitelná k lokální eskalaci práv. Knihovny KDE Frameworks jsou dnes využívány nejenom KDE Plasmou a KDE Aplikacemi.

Ladislav Hagara | Komentářů: 5
včera 20:11 | Nová verze

Byl vydán Debian 9.5, tj. pátá opravná verze Debianu 9 s kódovým názvem Stretch. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Předchozí instalační média Debianu 9 Stretch lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 3
13.7. 23:55 | Komunita

V Národní technické knihovně (NTK) je 150 nových počítačů s operačním systémem Linux, konkrétně s linuxovou distribucí Fedora. Do konce prázdnin si na nich lze zahrát počítačovou hru Factorio (Wikipedie). V pondělí 23. 7. proběhne LAN party s vývojáři této hry.

Ladislav Hagara | Komentářů: 0
13.7. 17:33 | Zajímavý software

Fanatical (Wikipedie) má ve slevě řadu počítačových her běžících také na Linuxu. Balíček her Fanatical Strategy Bundle lze koupit za 1,99 eur.

Ladislav Hagara | Komentářů: 1
13.7. 11:44 | Zajímavý software

Byla vydána počítačová hra Warhammer 40,000: Gladius - Relics of War běžící také na Linuxu. Koupit ji lze na GOG, Humble Store i na Steamu. Videoukázka na YouTube.

Ladislav Hagara | Komentářů: 0
13.7. 10:33 | Komunita

Guido van Rossum, původní tvůrce a doposud vedoucí projektu Python, oznámil, že opouští svou roli, tedy již se nebude podílet na tvorbě PEP a výběru hlavních vývojářů, odchází na odpočinek a do budoucna bude nejvýše řadovým přispěvatelem. Situace vyplynula mj. z procesu schvalování PEP 572.

Fluttershy, yay! | Komentářů: 4
12.7. 17:22 | Nasazení Linuxu

Článek na OMG! Ubuntu! představuje vesmírného interaktivního asistenta CIMON (Crew Interactive Mobile CompaniON) vyvinutého ve spolupráci firem Airbus a IBM. Uvnitř této osmikilogramové koule s osmipalcovým displejem běží Ubuntu. Více ve videu na YouTube.

Ladislav Hagara | Komentářů: 6
12.7. 12:00 | Zajímavý software

Uživatelé Androidu si z Google Play mohou nainstalovat aplikaci Notes by Firefox od Mozilly. Jedná se o jednoduchý poznámkový blok synchronizovaný z rozšířením Firefoxu Notes z Firefox Test Pilotu.

Ladislav Hagara | Komentářů: 7
11.7. 14:44 | Nová verze

Byla vydána nová verze 1.25 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Představení novinek také na YouTube.

Ladislav Hagara | Komentářů: 23
11.7. 14:33 | Bezpečnostní upozornění

Byly zveřejněny informace o dalších dvou variantách bezpečnostní chyby Spectre v procesorech. V publikovaném článku (pdf) se o nich píše jako o variantách 1.1 (CVE-2018-3693) a 1.2.

Ladislav Hagara | Komentářů: 1
Jak čtete delší texty z webových stránek?
 (77%)
 (21%)
 (5%)
 (7%)
 (2%)
 (10%)
Celkem 347 hlasů
 Komentářů: 40, poslední 29.6. 10:21
    Rozcestník

    Dotaz: Spouštení příkazů přes Apache, bezpečnost

    8.8.2017 08:27 Hrabosh | skóre: 26 | blog: HBlog | Brno
    Spouštení příkazů přes Apache, bezpečnost
    Přečteno: 398×
    Zdravím!

    Mám domácí síť, kde je krom normálních počítačů taky server a pár RaspberryPi. RaspberryPi jsou v různých místnostech a občas je k nim něco připojený (projektor, teplotní čidlo, atd.).

    Na serveru beží Apache s jednoduchým WEBem, mám vnější IP a doménu.

    Občas potřebuju na některém Raspberry pustit vzdáleně skript. Chtěl jsem to udělat tak, že si nastavím ssh přihlášení pomocí klíčů (tzn. bez zadávání hesla) ze serveru na Raspberry a přes PHP funkci exec spouštět skript na serveru, kterej se přes ssh připojí na Raspberry a spustí skript tam.

    Zatím jsem ve fázi, kdy mi chodí to vzdálený spouštení, pokud to pustím na serveru z konzole, ale nejede mi to, pokud to spouštím execem z toho Apache.

    Nicméně ... přijde vám to jako dobrý řešení obecně? Není to trochu nebezpečný? Dá se vymyslet něco lepšího?

    Ješte jsem zapomněl, že ta PHP stránka se spouštením skriptů je ve složce, do které je přístup pod heslem (.htaccess).

    To jsem psal já ... to není bordel, to je modulární!

    Řešení dotazu:


    Odpovědi

    8.8.2017 09:54 MP
    Rozbalit Rozbalit vše Re: Spouštení příkazů přes Apache, bezpečnost
    A nastaveny apache mate jak z hlediska spousteni skriptu? A prava z hlediska skriptu/apache mate nastaveny jak?
    8.8.2017 10:41 NN
    Rozbalit Rozbalit vše Re: Spouštení příkazů přes Apache, bezpečnost
    Neni to ani dobre ani bezpecne. Lepsi by asi bylo udelat to obracene. Klient(RPi) se dotazuje serveru (JSON/XML etc.) a stahuje si aktualni konfiguraci, kterou pouziva. Tzn. na web serveru pouze generujes konfiguraci, ale nevytvaris diru dovnitr.
    8.8.2017 12:36 lertimir | skóre: 61 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Spouštení příkazů přes Apache, bezpečnost
    Je to dost hodně pitomý způsob. Primární otázka je: Co je fakticky cílem? Kdo bude skripty spouštět?
    • Pokud automaticky, bez přimé lidské akce, tak řešit cronem. Pokud je to vše v lokální síti, asi je možné i řešení že všechny skripty budou pouštěny periodicky a vysledky shromaždovány na serveru v aktuálním stavu (případně hezky zobrazeny nástroji jako munin, nebo grafana)
    • Pokud vy a nebo někdo linuxově znalý, tak bych to řešil: SSH na server (s klíčem) a tunel na RPi. Skripty se to dá udělal pak lokálně tak, že pustím lokálně přikaz, který vš provede. (připojení na server, tunel, skript na cíli)
    • Pokud i někdo jiný bez znalosti bezpečnosti a schopný použivat jen web, tak je to neřešitelné jednoduše a bezpracně.
    8.8.2017 14:04 Hrabosh | skóre: 26 | blog: HBlog | Brno
    Rozbalit Rozbalit vše Re: Spouštení příkazů přes Apache, bezpečnost
    Poslední varianta je správně (... moje manželka).

    Napadla mě varianta brod, inspirovaná předchozím příspěvkem.

    PHP skript nebude přímo spouštet přes exec nic, ale vytvoří texťák, do kterýho ten příkaz zapíše. Jinej skript, kterej poběží na serveru, ten příkaz z texťáku pustí.

    Nebo ... do texťáku se budou ukládat jen čísla, nebo "pseudopříkazy" typu "ProjectorOn". Skript na serveru nebude příkazy přímo spouštět, ale podívá se do nějaké lookup table a tam správný příkaz najde.

    Je otázka, jak spouštet ten serverový skript? Umí Cron pouštet skript každou sekundu? Pokud ne, je nekonečnej cyklus se "sleep 1" prasárna, za kterou se budu smažit v pekle?
    To jsem psal já ... to není bordel, to je modulární!
    8.8.2017 17:26 NN
    Rozbalit Rozbalit vše Re: Spouštení příkazů přes Apache, bezpečnost
    Skript muze bezet nonstop. Ne, neumi. Ne, je to v klidu.
    9.8.2017 06:56 Vlado
    Rozbalit Rozbalit vše Re: Spouštení příkazů přes Apache, bezpečnost
    Ad "sleep 1" --> pozri inotify.
    9.8.2017 08:14 Hrabosh | skóre: 26 | blog: HBlog | Brno
    Rozbalit Rozbalit vše Re: Spouštení příkazů přes Apache, bezpečnost
    To vypadá moc dobře! Dík
    To jsem psal já ... to není bordel, to je modulární!
    9.8.2017 08:23 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Spouštení příkazů přes Apache, bezpečnost
    Je to úplně běžný způsob použití, drtivá většina veškerého webu nejsou statické stránky, ale programy, které se na základě požadavku uživatele spouští. Akorát je potřeba mít ty programy napsané bezpečně, aby nějaký útočník nemohl napáchat škody.

    Nenapsal jste, jak ty skripty vypadají a co dělají. Předpokládám, že důvod, proč to funguje z konzole (asi pod rootem) a nefunguje spuštěné z webového serveru, jsou oprávnění – webový server neběží pod rootem, ale pod jiným uživatelem (např. apache nebo www-data). Ideální by bylo, aby ani ty skripty nemusely běžet pod rootem – ale pokud něco uvnitř těch skriptů vyžaduje práva roota, spouštějte to (jenom ten příkaz) pomocí sudo – a to si nakonfigurujte tak, aby uživatel, pod kterým běží web server, měl právo spustit pod rootem jenom ten daný příkaz. Pozor také na předávání parametrů těm skriptům – velmi nebezpečné je, pokud součástí požadavku od uživatele bude nějaký vstup, který by se předával až tomu skriptu.

    Nejlepší by mi připadalo logiku těch skriptů napsat v PHP, a z něj spouštět jen minimum externích příkazů, které jsou nutné pro provedení dané akce. A těm příkazům nepředávat žádný vstup od uživatele, ale jedině to, co je napsané přímo ve skriptu a máte to pod kontrolou.
    Jendа avatar 12.8.2017 22:43 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Spouštení příkazů přes Apache, bezpečnost
    kterej se přes ssh připojí na Raspberry a spustí skript tam
    Tip: pomocí "command=" v authorized_keys lze omezit povolené příkazy pouze na zadané skripty.
    Procesor je napájený přímo ze sítě a používá i její takt.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.