abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 17:22 | Nová verze

    Byla vydána nová verze 3.0.6 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP bude brzy k dispozici také na Flathubu.

    Ladislav Hagara | Komentářů: 0
    dnes 16:11 | IT novinky

    Americký výrobce čipů AMD uzavřel s americkou společností OpenAI smlouvu na několikaleté dodávky vyspělých mikročipů pro umělou inteligenci (AI). Součástí dohody je i předkupní právo OpenAI na přibližně desetiprocentní podíl v AMD.

    Ladislav Hagara | Komentářů: 0
    dnes 12:22 | Nová verze Ladislav Hagara | Komentářů: 0
    včera 20:00 | Komunita

    Byly zpracovány a na YouTube zveřejněny videozáznamy z konference LinuxDays 2025.

    Ladislav Hagara | Komentářů: 0
    4.10. 15:22 | IT novinky

    Na konferenci LinuxDays 2025 byl oficiálně představen nový router Turris Omnia NG.

    Ladislav Hagara | Komentářů: 31
    4.10. 05:22 | Komunita

    Přímý přenos (YouTube) z konference LinuxDays 2025, jež probíhá tento víkend v Praze v prostorách FIT ČVUT. Na programu je spousta zajímavých přednášek.

    Ladislav Hagara | Komentářů: 16
    3.10. 22:44 | IT novinky

    V únoru loňského roku Úřad pro ochranu osobních údajů pravomocně uložil společnosti Avast Software pokutu 351 mil. Kč za porušení GDPR. Městský soud v Praze tuto pokutu na úterním jednání zrušil. Potvrdil ale, že společnost Avast porušila zákon, když skrze svůj zdarma dostupný antivirový program sledovala, které weby jeho uživatelé navštěvují, a tyto informace předávala dceřiné společnosti Jumpshot. Úřad pro ochranu osobních údajů

    … více »
    Ladislav Hagara | Komentářů: 9
    3.10. 19:00 | Nová verze

    Google Chrome 141 byl prohlášen za stabilní. Nejnovější stabilní verze 141.0.7390.54 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 21 bezpečnostních chyb. Za nejvážnější z nich (Heap buffer overflow in WebGPU) bylo vyplaceno 25 000 dolarů. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    3.10. 17:11 | Upozornění

    eDoklady mají kvůli vysoké zátěži technické potíže. Ministerstvo vnitra doporučuje vzít si sebou klasický občanský průkaz nebo pas.

    Ladislav Hagara | Komentářů: 35
    3.10. 17:00 | Komunita

    Novým prezidentem Free Software Foundation (FSF) se stal Ian Kelling.

    Ladislav Hagara | Komentářů: 1
    Jaké řešení používáte k vývoji / práci?
     (38%)
     (45%)
     (16%)
     (17%)
     (22%)
     (15%)
     (18%)
     (16%)
     (16%)
    Celkem 179 hlasů
     Komentářů: 12, poslední 4.10. 20:35
    Rozcestník

    PHP potřetí(exec)

    15.2.2007 15:08 | Programování

    Tak už jsem vyřešil skoro všechny základní problémy v projektu, který v PHP-ku píšu. Poslední věc, se kterou si tak trošku nevím rady, je jak zajistit spouštění systémových příkazů jako iptables, nebo service ...(které může spouštět jenom root).

    Dělat to přes sudo NOPASSWD se mi zdá docela hloupé, protože tím udělam docela díru do systému, která by se sice myslím dala nějak zalepit pomocí SELinuxu, ale do toho se mi nechce.

    Existuje tedy nějaká dobrá metoda, jak to v PHP zajistit?

    Předem děkuji za rady.

           

    Hodnocení: 33 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    15.2.2007 15:41 maleprase | skóre: 28
    Rozbalit Rozbalit vše Re: PHP potřetí(exec)
    sudo s NOPASSWD klidne pouzij ale ke kazdemu systemovemu prikazu si udelej skript ktery bude delat jen ciste to co chces vcetne osetreni vstupu

    takze udelas treba restart_httpd.sh ve kterym bude jen /sbin/service httpd restart a do sudoerrs das neco jako

    uzivatel ALL = NOPASSWD: /usr/local/bin/restart_httpd.sh

    tim uzivateli povolis pres sudo poustet jen /usr/local/bin/restart_httpd.sh
    15.2.2007 15:44 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: PHP potřetí(exec)
    Vzhledem k tomu, že tyto aplikace musí běžet pod rootem, obejít to nijak nepůjde, to by to zabezpečení v Linuxu nebylo k ničemu. A jak spustit aplikaci pod rootem, aniž bych byl root? V úvahu připadá suid bit, a to není zrovna nejlepší varianta, a pak sudo. To už je lepší. Můžete si třeba vytvořit nějakého uživatele a sudo povolit jemu, z PHP pak spouštět pod daným uživatelem sudo -u. Samozřejmě je nutné počítat s tím, že kdokoliv může vidět zdrojové kódy toho PHP (nebo nějaký konfigurační soubor, kam uložíte jméno/heslo toho uživatele), může spouštět i ten sudo skript.
    15.2.2007 16:10 happy barney | skóre: 34 | blog: dont_worry_be_happy
    Rozbalit Rozbalit vše Re: PHP potřetí(exec)
    hmm, a takáto možnosť?

    ls -l /usr/sbin/suid-php:
    -r-sr-x--- root suidphp  suid-php
    
    head -1 aaa.cgi:
    #/usr/sbin/suid-php
    
    Josef Kufner avatar 15.2.2007 16:18 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: PHP potřetí(exec)
    Spouštět php s právy roota je poněkud, ehm, nebezpečné. Řešení se specializovanými, jednoduchými a neprůstřelnými scripty + sudo je asi nejbezpečnější.
    Hello world ! Segmentation fault (core dumped)
    15.2.2007 18:11 happy barney | skóre: 34 | blog: dont_worry_be_happy
    Rozbalit Rozbalit vše Re: PHP potřetí(exec)
    njn, php sux, ale riešenie to je :-)

    potom by ešte bolo možné vytvoriť virtual host s iným User ako celý apache, a sudo povoliť len na tohoto užívateľa.

    15.2.2007 16:23 maleprase | skóre: 28
    Rozbalit Rozbalit vše Re: PHP potřetí(exec)
    tohohle bych se bal.

    pokud to ma jet jako webova sluzba, pak by musel uzivatel apache(httpd), pod kterym je spusten webserver, byt ve skupine suidphp a to znamena, ze kdokoliv, kdo muze vytvaret skripty na tom stroji, se dostane k pravum roota
    15.2.2007 16:24 maleprase | skóre: 28
    Rozbalit Rozbalit vše Re: PHP potřetí(exec)
    skripty jako ve smyslu muze vytvaret dynamicky generovane stranky
    15.2.2007 16:22 Abraxis
    Rozbalit Rozbalit vše Re: PHP potřetí(exec)
    Take jsem totez resil (sprava uzivatelu, skupin, kvot apod. pres webovske rozhrani) a nic lepsiho nez sudo jsem nenasel.

    Jen bych doporucil napsat si vlastni funkci: MyExec($command) ktera teprve udela exec ('sudo "'.AddSlashes($command).'"'); (pripadne zalogovani a dalsi veci) a dusledne volat to vzdy pres tuhle funkci.
    15.2.2007 16:39 Honza
    Rozbalit Rozbalit vše Re: PHP potřetí(exec)
    Ja podobny problem kdysi resil pres suid C-ckovi wrapper pro perl-ovy skript s zapnutym 'tainted mode'. Perl s touto variantou nejak pocita, jak moc je to bezpecny ale ale otazka...

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.