Přihlášení | Registrace

napište » Zprávičky

včera 15:33 | Komunita

Na YouTube byly zveřejněny videozáznamy přednášek z hackerské konference DEF CON 33, jež proběhla 7. až 10. srpna v Las Vegas.

Ladislav Hagara | Komentářů: 0

Bun 1.3

včera 05:33 | Nová verze

Bun (Wikipedie), tj. běhové prostředí (runtime) a toolkit pro JavaScript a TypeScript, alternativa k Node.js a Deno, byl vydán ve verzi 1.3. Představení novinek také na YouTube. Bun je naprogramován v programovacím jazyce Zig.

Ladislav Hagara | Komentářů: 2

Česko získalo svou továrnu na umělou inteligenci a s ní i nový AI superpočítač

10.10. 14:22 | IT novinky

V Lucemburku byly oznámeny výsledky posledního kola výzev na evropské továrny pro umělou inteligenci neboli AI Factories. Mezi úspěšné žadatele patří i Česká republika, potažmo konsorcium šesti partnerů vedené VŠB – Technickou univerzitou Ostrava. V rámci Czech AI Factory (CZAI), jak se česká AI továrna jmenuje, bude pořízen velmi výkonný superpočítač pro AI výpočty a vznikne balíček služeb poskytovaný odborníky konsorcia. Obojí bude sloužit malým a středním podnikům, průmyslu i institucím veřejného a výzkumného sektoru.

Ladislav Hagara | Komentářů: 17

Visual Studio Code a VSCodium 1.105

10.10. 01:22 | Nová verze

Byla vydána (𝕏) zářijová aktualizace aneb nová verze 1.105 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.105 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 0

Lepší správa profilů ve Firefoxu

9.10. 15:33 | Komunita

Ve Firefoxu bude lepší správa profilů (oddělené nastavení domovské stránky, nastavení lišt, instalace rozšíření, uložení hesla, přidání záložky atd.). Nový grafický správce profilů bude postupně zaváděn od 14.října.

Ladislav Hagara | Komentářů: 0

Ubuntu 25.10 Questing Quokka

9.10. 12:44 | Nová verze

Canonical vydal (email) Ubuntu 25.10 Questing Quokka. Přehled novinek v poznámkách k vydání. Jedná se o průběžné vydání s podporou 9 měsíců, tj. do července 2026.

Ladislav Hagara | Komentářů: 0

ClamAV 1.5.0

9.10. 12:22 | Nová verze

ClamAV (Wikipedie), tj. multiplatformní antivirový engine s otevřeným zdrojovým kódem pro detekci trojských koní, virů, malwaru a dalších škodlivých hrozeb, byl vydán ve verzi 1.5.0.

Ladislav Hagara | Komentářů: 0

Julia 1.12.0

9.10. 01:22 | Nová verze

Byla vydána nová verze 1.12.0 dynamického programovacího jazyka Julia (Wikipedie) určeného zejména pro vědecké výpočty. Přehled novinek v příspěvku na blogu a v poznámkách k vydání. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 0

Kritická zranitelnost CVE-2025-49844 v Redisu

8.10. 15:11 | Bezpečnostní upozornění

V Redisu byla nalezena a v upstreamu již opravena kritická zranitelnost CVE-2025-49844 s CVSS 10.0 (RCE, vzdálené spouštění kódu).

Ladislav Hagara | Komentářů: 5

Ministr Jurečka přijal rezignaci ředitele DIA Martina Mesršmída

8.10. 14:00 | IT novinky

Ministr a vicepremiér pro digitalizaci Marian Jurečka dnes oznámil, že přijme rezignaci ředitele Digitální a informační agentury Martina Mesršmída, a to k 23. říjnu 2025. Mesršmíd nabídl svou funkci během minulého víkendu, kdy se DIA potýkala s problémy eDokladů, které některým občanům znepříjemnily využití možnosti prokázat se digitální občankou u volebních komisí při volbách do Poslanecké sněmovny.

Ladislav Hagara | Komentářů: 20

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (38%)

Gitlab (45%)

Atlassian (17%)

Bitbucket (18%)

Gitea (22%)

Mercurial (16%)

jen git (18%)

jen svn (16%)

Jiné (uvedu v diskusi) (16%)

Celkem 209 hlasů

Komentářů: 13, poslední 8.10. 07:41

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Omezení čtení souborů vyjma uživatelova home

Štítky: FTP, Internet, práva

Dotaz: Omezení čtení souborů vyjma uživatelova home

22.3.2008 00:31 happymaster23 | skóre: 9
Omezení čtení souborů vyjma uživatelova home

Přečteno: 614×

Odpovědět | Admin

Zdravím,

v systému mám uživatele, kteří jsou zde pouze proto, aby se pomocí nich (FTP) nahrál do jejich home obsah webu. Tato skupina má (měla by mít) maximálně omezený přístup. Aby nemohli číst soubory přes FTP mimo jejich home mám vyřešeno pomocí nastavení FTP serveru, který je nad jejich home nepustí. Doteď je to OK, nicméně tihle uživatelé můžou pomocí skriptů (php obvykle), číst obsah celého filesystému a to jednoduchým způsobem. Nejdřív si z globální proměnné $_SERVER zjistí, kde se jejich home ve filesystému nachází a potom už není problém pomocí jednoduchého skriptu (include "../../../etc/něco";) číst soubory co jsou v /proc či /etc atd. Z podstaty to je v pořádku, protože tyhle soubory mají nastavená práva tak, že je můžou číst všichni. Taky si nejsem jistý, na kolik je tohle nebezpečné, nicméně zkoušel jsem si tímto způsobem zobrazit nějaké systémové soubory na komerčních hostincích a tady jsem narazil - nefungovalo to. I proto si myslím, že není úplně vhodné, aby si každý mohl zobrazovat soubory jako /etc/passwd, apod.

Měnit práva všech systémových souborů (tak aby je nemohli číst others) je asi jako jít se vzduchovkou na tank a to nemluvě o tom, že by díky tomu spousta věcí přestala fungovat. Proto se ptám - existuje nějaké jednoduché elegantní řešení, aby skripty, které nahrají běžní uživatelé nemohli číst data odjinud než z uživatelova home?

Díky

Nástroje: Začni sledovat (0) ?

Odpovědi

22.3.2008 01:00 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home

Riešenie pre PHP sa volá open_basedir a dá sa nastaviť pre každý adresár, či virtual host zvlášť (aby si užívatelia navzájom nešmejdili po adresároch):

<VirtualHost *:80>
    ServerAdmin admin@example.com
    ServerName www.example.com
    ServerAlias example.com
    DocumentRoot /var/www/example.com/www
    <Directory /var/www/example.com/www>
        Options Indexes FollowSymLinks
        Order allow,deny
        Allow from all
        php_admin_value open_basedir /var/www/example.com
        AllowOverride AuthConfig FileInfo Indexes Limit
    </Directory>
    ErrorLog /var/www/example.com/logs/www.example.com-error.log
    CustomLog /var/www/example.com/logs/www.example.com-access.log combined env=!nologreq
</VirtualHost>

Pre iné jazyky než PHP je to potrebné riešiť zvlášť. Okrem toho PHP defaultne povoľuje spúšťanie príkazov ako napríklad cat, či ls, a pre tie už open_basedir neplatí, takže je dobré volania všetkých externých príkazov z PHP potom úplne zakázať.

23.3.2008 00:45 happymaster23 | skóre: 9
Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home

Díky za odpověď,

hned zítra to vyzkouším.

Jak se v php dá zakázat volání externích příkazů? Něco málo jsem hledal (netvrdím, že důkladně) a nic moc jsem nenašel. Snad jen něco ve smyslu disable_functions = . Nastavit safe_mode by asi bylo moc restriktivní, že?

23.3.2008 01:15 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home

Safe mód bude v budúcej verzii (PHP6) odstránený a odporúčal by som nezvykať si na neho. Zakázať volania príkazov shellu sa dá práve cez disable_functions, kde je minimálne treba vymenovať všetky funkcie, ktorých popis začína slovami "Execute ...", napríklad odtiaľto: Program Execution Functions. Pozor ale - aj iné moduly a funkcie môžu obsahovať nechcené fičúry, ako napr. tento.

Všetko toto rieši ale len PHP skripty, ak tam bude napr. Perl, tak ten treba riešiť zvlášť (nemám tušenie ako, keďže perl nie je môj obľúbený). Istým riešením by bolo prevádzkovať Apache v konfigurácii per-user, kedy je ku každému virtuálnemu hostu pridelený user, pod ktorým sa požiadavky vykonávajú. To by riešilo problém komplexne, bohužiaľ väčšina týchto per-user rozšírení nie je práve v stable vetve (aspoň naposledy čo som pozeral).

22.3.2008 10:48 Dramon | skóre: 14
Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home

Nejen na tento problém je určen SELinux, který Apache, potažmo PHP skript, nepustí nikam, kde nejsou správné bezpečnostní kontexty. Což je ve výchozím nastavení složka www serveru a jinak nic. Dají se povolit uživatelské adresáře. Pokus o čtení čehokoliv jiného je odmítnut
Pokud používáš distribuci, kde SELinux nativně není, tak může být oříšek jej tam aplikovat. Možná AppArmor má stejné možnosti, nevím, neznám jej.

22.3.2008 10:55 fixinko | skóre: 15 | Bratislava
Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home

SELinux riesi len to, aby apache necital nic ine, co je v jeho TE, ale to aby si uzivatelia lozili po adresaroch (vramci apacha) riesi safe_mode pripadne open_basedir...

22.3.2008 11:11 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home

AppArmor není tak obecný jako SELinux, ale pro mnoho účelů (včetně tohoto) by stačil. Navíc právě pro Apache má zajímavé rozšíření subprofilů (hats), které umožňují odlišná oprávnění v závislosti na URL.

23.3.2008 00:51 happymaster23 | skóre: 9
Rozbalit Rozbalit vše Re: Omezení čtení souborů vyjma uživatelova home

Díky za odpovědi,

distribuci se SELinuxem používám (CentOS 5), nicméně jsem ho na dobu neurčitou přepnul do tolerantního módu, protože jsem měnil výchozí adresáře pro Apache, MySQL a instaloval ProFTPd a pro to všechno se do SELinuxu musí přidat pravidla, čemuž jsem zatím nijak moc nepřišel na kloub (resp. snažil jsem se to řešit zde).

Stejně si ale myslím (jako fixinko), že by tady stejně SELinux nepomohl, protože to nečte Apache, ale přímo ten skript toho uživatele.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje