abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Debian 13.2
    dnes 16:11 | Nová verze

    Byl vydán Debian 13.2, tj. druhá opravná verze Debianu 13 s kódovým názvem Trixie. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

    Ladislav Hagara | Komentářů: 0
    Code Wiki
    dnes 12:11 | IT novinky

    Google představil platformu Code Wiki pro rychlejší porozumění existujícímu kódu. Code Wiki pomocí AI Gemini udržuje průběžně aktualizovanou strukturovanou wiki pro softwarové repozitáře. Zatím jenom pro veřejné. V plánu je rozšíření Gemini CLI také pro soukromé a interní repozitáře.

    Ladislav Hagara | Komentářů: 3
    Eskalace práv v přihlašovací obrazovce LightDM KDE (CVE-2025-62876)
    včera 14:22 | Bezpečnostní upozornění

    V přihlašovací obrazovce LightDM KDE (lightdm-kde-greeter) byla nalezena a již opravena eskalace práv (CVE-2025-62876). Detaily v příspěvku na blogu SUSE Security.

    Ladislav Hagara | Komentářů: 5
    Tails 7.2
    včera 13:22 | Nová verze

    Byla vydána nová verze 7.2 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Tor Browser byl povýšen na verzi 15.0.1. Další novinky v příslušném seznamu.

    Ladislav Hagara | Komentářů: 0
    ČNB nakoupila bitcoiny a další digitální aktiva za téměř 21 milion korun
    včera 10:33 | IT novinky

    Česká národní banka (ČNB) nakoupila digitální aktiva založená na blockchainu za milion dolarů (20,9 milionu korun). Na vytvořeném testovacím portfoliu, jehož součástí jsou bitcoin, stablecoiny navázané na dolar a tokenizované depozitum, chce získat praktickou zkušenost s držením digitálních aktiv. Portfolio nebude součástí devizových rezerv, uvedla dnes ČNB v tiskové zprávě.

    Ladislav Hagara | Komentářů: 41
    iPhone Pocket
    včera 03:22 | IT novinky

    Apple představil iPhone Pocket pro stylové přenášení iPhonu. iPhone Pocket vzešel ze spolupráce značky ISSEY MIYAKE a Applu a jeho tělo tvoří jednolitý 3D úplet, který uschová všechny modely iPhonu. iPhone Pocket s krátkým popruhem se prodává za 149,95 dolarů (USA) a s dlouhým popruhem za 229,95 dolarů (USA).

    Ladislav Hagara | Komentářů: 17
    Vivaldi 7.7
    včera 02:33 | Nová verze

    Byla vydána nová stabilní verze 7.7 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 142. Přehled novinek i s náhledy v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    Unreal Engine 5.7
    13.11. 22:11 | Nová verze

    Společnost Epic Games vydala verzi 5.7 svého proprietárního multiplatformního herního enginu Unreal Engine (Wikipedie). Podrobný přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 2
    Bezpečnostní chyby v produktech od Intelu – 11/2025. Mikrokód 20251111
    13.11. 16:22 | Bezpečnostní upozornění

    Intel vydal 30 upozornění na bezpečnostní chyby ve svých produktech. Současně vydal verzi 20251111 mikrokódů pro své procesory.

    Ladislav Hagara | Komentářů: 0
    Visual Studio Code a VSCodium 1.106
    13.11. 15:33 | Nová verze

    Byla vydána říjnová aktualizace aneb nová verze 1.106 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.106 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 1
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (35%)
     (47%)
     (18%)
     (18%)
     (23%)
     (15%)
     (23%)
     (16%)
     (16%)
    Celkem 354 hlasů
     Komentářů: 16, poslední 12.11. 18:21
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Nastavení práv
    Štítky: nastavení, PHP, pomoc, práva, programování

    Dotaz: Nastavení práv

    20.6.2012 11:34 jAREk
    Nastavení práv
    Přečteno: 422×
    Dobrý den.

    Mám takovou strukturu 
    /home/virt/domena/http/www/css/
/home/virt/domena/http/www/inc/
/home/virt/domena/http/www/template/
/home/virt/domena/http/www/cache/
/home/virt/domena/http/www/upload/
/home/virt/domena/http/www/index.php

/home/virt/jina-domena/http/www/css/
/home/virt/jina-domena/http/www/inc/
/home/virt/jina-domena/http/www/template/
/home/virt/jina-domena/http/www/cache/
/home/virt/jina-domena/http/www/index.php
    Poradí prosím někdo, ale opravdu někdo zkušený, jak opravdu bezpečně takové adresáře nastavit? Myslím tím práva a vlastníka každého adresáře. Děkuji za pomoc
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    20.6.2012 12:13 drunkezz | skóre: 34 | blog: kadeco
    Rozbalit Rozbalit vše Re: Nastavení práv

    toz hlavne nam musis povedat aky useri na systeme existuju, kto ma mat k tym fajlom pristup atd....sak tu si kolegovci nemozu vycucat z prstu tvoj ocakavany vysledok ancjasa..

    20.6.2012 12:22 jAREk
    Rozbalit Rozbalit vše Re: Nastavení práv
    Tak to co je v adresáři www/ to je všechno na webu, adresář upload tak se ukladaji fotky přes prohlížeč, adresář cache tak si systém ukládá vlastní soubory Jinak uzivatele zatim zadne nemam, pristupuji na server jako root.
    20.6.2012 13:19 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nastavení práv
    Neexistuje žádné bezpečné nastavení práv samo o sobě. Vždy záleží na tom, jak se mají ta data používat, teprve podle toho pak můžete práva nastavit.
    20.6.2012 13:36 jAREk
    Rozbalit Rozbalit vše Re: Nastavení práv
    A co zde mám tedy ještě sdělit za informace? Žádní uživatelé nemájí přístup na server, jen admin který spravuje všechny domény a adresáře www obsahují soubory php, html, css a obrázky. Taky je adresář www nastaven jako DocumentRoot.
    20.6.2012 13:51 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nastavení práv
    Co s těmi daty chcete dělat. Asi budete chtít, aby některé soubory mohl číst webový server, do některých souborů nebo adresářů možná budete chtít webovému serveru povolit i zápis… Pokud se na server mohou (např. přes SSH) přihlásit jen uživatelé, kteří mohou všechny soubory číst (včetně zdrojáků, konfigurací) a soubory upravuje jen jeden uživatel, nastavte jako vlastníka tohoto uživatele a pro ostatní nastavte právo pro čtení a procházení adresářů (tím pádem bude moci soubory přečíst webový server).
    20.6.2012 14:52 jAREk
    Rozbalit Rozbalit vše Re: Nastavení práv 
    - Tak na server má přístup jeden uživatel "root"
- Do adresářů které jsou v adresáři www/ chci aby mohl soubory načítat webový server a php
- Do adresáře "cache" aby mohl zapisovat webový server a php
- Do adresáře "upload" aby šly ukládat fotky přes php script (web prohlížeč) 
- Jinak ostatní adresáře home, virt, domena, http aby mel přístup jen root a nedalo se na ně dostat z prohlížeče
    - Na serveru neexistuje žádný ftp server 
    /home/virt/domena/http/www/css/
/home/virt/domena/http/www/inc/
/home/virt/domena/http/www/template/
/home/virt/domena/http/www/cache/
/home/virt/domena/http/www/upload/
/home/virt/domena/http/www/index.php
    tak že takto to je dobře?
home, virt, domena, http, www, css, inc, template a index.php nastavím na root:root rwx---r-x (0705)
cache a upload nastavím na root:root rwx---r-x (0707)
    Snad to je dostačující, poked nem rád doplním požadované informace, děkuji
    20.6.2012 15:55 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nastavení práv
    Upravovat webové stránky pod uživatelem root rozhodně není dobrý nápad. Pokud se na server nikdo jiný nemůže připojit, můžete na cache a upload ponechat práva rwx pro ostatní, ale moc čisté řešení to není.

    Pozor na adresář upload, pokud by vám tam uživatel mohl nahrát soubor, který pak server spustí jako PHP skript (třeba jen podle přípony), může si pak uživatel na serveru spouštět jakýkoli kód pod účtem, pod kterým běží webový server. V kontextu webového serveru, který není jiným způsobem přístupný, je nesrovnatelně důležitější zabezpečit tohle, na právech v souborovém systému v takovém případě tolik nezáleží.
    20.6.2012 16:13 František
    Rozbalit Rozbalit vše Re: Nastavení práv
    Pokud nastavím práva na dir "upload" rwx------ a vlastník a skupna bude root:root tak tam webový server nic nezapíše, ne? Jinak ten upload je ošetřený tak, že je v něm .htaccess který zabraňuje spouštění souboru.php z toho adresáře, tak snad to je zabezpečeno dostatečně..
    20.6.2012 16:32 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nastavení práv
    Pokud nastavím práva na dir "upload" rwx------ a vlastník a skupna bude root:root tak tam webový server nic nezapíše, ne?
    Ano, pokud neběží pod rootem. Ale já jsme psal o právech ??????rwx.
    Jinak ten upload je ošetřený tak, že je v něm .htaccess který zabraňuje spouštění souboru.php z toho adresáře, tak snad to je zabezpečeno dostatečně.
    Na takhle jednoduché řešení bych rozhodně nespoléhal. .php na konci souboru je zřejmé, ale Apache umožňuje používat např. vyjednávání o jazykových mutacích, kdy může mít soubor více přípon. Takže třeba takový soubor index.php.cs pak také spustí jako PHP skript. To máte v tom .htaccess také ošetřené? A jak se to bude chovat v případě, že za .php bude mezera nebo nulový znak – máte jistotu, že k tomu .htaccess i kód hledající interpret (PHP) budou přistupovat stejně? Já bych tedy raději soubory uploadoval do adresáře, kam webový server vůbec nevidí (mimo DocumentRoot) a teprve pak bych je přejmenoval na nějaké serverem vytvořené bezpečné jméno (které neobsahuje nic ze vstupu od uživatele) a přesunul do prostoru, který bude pro webový server dostupný. Ještě lepší je nechat je mimo trvale a servírovat je jen skrze nějaký PHP skript.
    20.6.2012 17:15 jAREk
    Rozbalit Rozbalit vše Re: Nastavení práv
    Ale já jsme psal o právech ??????rwx
    Tak že mám nastavit adresářš cache a upload na root:root ------rwx ?

    A ty ostatní adresáře mám nastavit na root:root ------r-x nebo root:root ------r--
    Ano, pokud neběží pod rootem
    Jak zjistím pod čím mi běží webový sever?
    Ještě lepší je nechat je mimo trvale a servírovat je jen skrze nějaký PHP skript.
    Jenže to pak nepůjdou ty obrázky kešovat .(
    20.6.2012 18:43 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nastavení práv
    Tak že mám nastavit adresářš cache a upload na root:root ------rwx ? A ty ostatní adresáře mám nastavit na root:root ------r-x nebo root:root ------r--
    Ne, těmi otazníky jsem chtěl naznačit, že to jsou práva, která v dané větě neřeším. Práva by tedy měla být user:user rwxrwxr-x na adresáře jako www a user:user rwxrwxrwx na cache a upload. user:user je uživatel a skupina, pod kterými bude spravován webový obsah.
    Jak zjistím pod čím mi běží webový sever?
    Pokud je to Apache, pak to určují konfigurační volby User a Group. Případně by to mohl ještě řešit distribuční init skript, že by Apache rovnou spouštěl pod zvoleným uživatelem - pak by ale v systému musely být zprovozněné capabilities, aby se mohl i jiný uživatel připojit k portu 80. V takovém případě by uživatel byl vidět ve výpise ps axu. Pokud je to udělané prvním způsobem (přes konfigurační volby User a Group), bude ve výpise ps axu Apache běžet pod rootem, na daného uživatele se přepíná teprve na začátku zpracování požadavku.
    Jenže to pak nepůjdou ty obrázky kešovat .(
    Půjdou, jenom si to musíte v tom PHP naprogramovat. A můžete si to naprogramovat i lépe - Apache standardně dokáže odpovědět, že se soubor nezměnil, ale i to znamená kolečko dotaz-odpověď. Vy si to můžete naprogramovat tak, že budete s obrázkem rovnou posílat hlavičku Expires, ve které nastavíte, že obrázek bude platný 1 rok. Pak může prohlížeč rovnou použít nakešovanou verzi a serveru se vůbec nemusí ptát.
    21.6.2012 15:42 jAREk
    Rozbalit Rozbalit vše Re: Nastavení práv
    Ne, těmi otazníky jsem chtěl naznačit, že to jsou práva, která v dané větě neřeším. Práva by tedy měla být user:user rwxrwxr-x na adresáře jako www a user:user rwxrwxrwx na cache a upload. user:user je uživatel a skupina, pod kterými bude spravován webový obsah.
    Tak to vypadá, že Apache běží pod www-data

    Mám tedy nastavit veškeré adresáře a jejich obsah na: www-data:www-data na rwxrwxr-x a adresář upload, cache a jejich obsahy na: www-data:www-data na rwxrwxrwx ?

    Díky

    21.6.2012 15:52 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Nastavení práv
    Určitě není dobrý nápad, aby mohl web server zapisovat do souborů, do kterých zapisovat nepotřebuje. Nastavil bych na těch adresářích vlastníka:skupinu na www-data:www-edit a práva na r-xrws---, na upload a cache pak rwxrwx---. Ve skupině www-edit pak budou uživatelé, kteří mohou web editovat. s znamená setgid bit, skupina nově vytvořeného souboru nebo adresáře se bude dědit podle skupiny nadřízeného adresáře, nikoli podle primární skupiny uživatele.
    20.6.2012 16:38 Kit
    Rozbalit Rozbalit vše Re: Nastavení práv
    Takový adresář by ale byl k ničemu. Nebylo by jak do něj zapsat.

    Také by bylo vhodné ochránit samotný .htaccess.
    20.6.2012 17:33 jAREk
    Rozbalit Rozbalit vše Re: Nastavení práv
    Také by bylo vhodné ochránit samotný .htaccess.
    Jak se to dělá?
    AsciiWolf avatar 20.6.2012 20:06 AsciiWolf | skóre: 41 | blog: Blog
    Rozbalit Rozbalit vše Re: Nastavení práv
    chmod (či chown)?
    20.6.2012 21:44 Kit
    Rozbalit Rozbalit vše Re: Nastavení práv
    Tak, že se uživatelům nedovolí pojmenovávat soubory. Souborům se dají syntetická jména, např. MD5 souboru. V databázi je pak jen vazba název->soubor. Je to skvělé pro deduplikaci dat a umožní to mít víc souborů se stejným názvem, ale různými verzemi v jednom adresáři.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.