Απορία με chmod 707

Σε αυτή την περιοχή μπορείτε να βρείτε ή να αναζητήσετε πληροφορίες σχετικές με την PHP

Συντονιστές: WebDev Moderators, Super-Moderators, PHP Moderators

Απάντηση
Άβαταρ μέλους
korgr
Honorary Member
Δημοσιεύσεις: 5067
Εγγραφή: 07 Οκτ 2008 18:30
Τοποθεσία: Corinth
Επικοινωνία:

Απορία με chmod 707

Δημοσίευση από korgr » 03 Δεκ 2011 17:18

Κάποτε είπε ο Φίλιππος να χρησιμοποιούμε το 707 ώστε users του ίδιου group να μην έχουν read write permissions στα αρχεία μας.
Το τελευταίο 7 που ερμηνεύεται σε public read-write-execute τι ακριβώς σημαίνει? Ποιοι είναι οι public? Προφανώς μιλάμε για εντός του server μας, αλλά αυτό το public δεν σημαίνει security risk?

Apostolis_38
Δημοσιεύσεις: 1969
Εγγραφή: 14 Φεβ 2008 16:20
Τοποθεσία: ΠΕΙΡΑΙΑΣ

Απορία με chmod 707

Δημοσίευση από Apostolis_38 » 04 Δεκ 2011 19:43

Στο σύστημα δικαιωμάτων του Unix υπάρχουν οι εξής χρήστες:
owner, group και others.
Δηλαδή, ιδιοκτήτης, ομάδα που ανήκει κάποιος user και οι υπόλοιποι. Δηλαδή αυτοί που δεν είναι ιδιοκτήτες και δεν ανήκουν σε κάποιο γκρούπ χρηστών (στο συγκεκριμένο σύστημα). Με απλοϊκά λόγια κάτι σαν anonymous users ή guests που μπορούν να συνδεθούν από αλλού (άλλο pc, network κ.λ.π.) και να διαβάσουν ή να διαχειριστούν αρχεία.

Κανονικά τα "απλά" αρχεία (html, images) σε έναν web server χρειάζονται δικαιώματα 644. Δηλαδή οι others απλώς να διαβάζουν ένα αρχείο.
Για scripts πρέπει να έχουν 755, για να μπορούν να το εκτελούν. Βέβαια πολλές φορές όταν κάποιος χρήστης βλέπει μια σελίδα γίνεται owner της σελίδας (όχι του web server). Κάτι παρόμοιο γίνεται και στο ftp.
Για να το καταλάβεις καλύτερα, πολλές φορές θα δείς οτι οι σελίδες που φορτώνεις εσύ στο server σου έχουν διαφορετικό owner από το τα άλλα αρχεία και φακέλους του web server (συνήθως τα επίπεδα πάνω από το public_html ή www που βάζουμε τα αρχεία μας).

Θεωρητικά λοιπόν, ναι υπάρχει security risk αλλά όχι τόσο μεγάλο.
Από την άλλη ποτέ δεν ξέρεις, γι αυτό και καλό είναι να παίρνεις τα μέτρα σου για το τι ανεβάζει και εκτελεί κάποιος...

Άβαταρ μέλους
korgr
Honorary Member
Δημοσιεύσεις: 5067
Εγγραφή: 07 Οκτ 2008 18:30
Τοποθεσία: Corinth
Επικοινωνία:

Απορία με chmod 707

Δημοσίευση από korgr » 04 Δεκ 2011 22:12

Σε ευχαριστώ Αποστόλη! :)

Άβαταρ μέλους
Rapid-eraser
WebDev Moderator
Δημοσιεύσεις: 6851
Εγγραφή: 05 Απρ 2003 17:50
Τοποθεσία: Πειραιάς
Επικοινωνία:

Απορία με chmod 707

Δημοσίευση από Rapid-eraser » 05 Δεκ 2011 11:14

Ανάλογα με το πως είναι στημένη η php ένας φάκελος ή ένα πρόγραμμα για να είναι accessible ή executable (write/read/execute) χρειάζεται ή όχι το world να έχει access.

Αν η php τρέχει σαν suphp (*cgi) σημαίνει ότι ο χρήστης του account τρέχει το php. Άρα στο world δεν χρειάζεται τίποτα 700.
Αν η php τρέχει σαν isapi module τότε την τρέχει ο httpd οπότε χρειάζεται οπωσδήποτε execute από το world και τουλάχιστον read/write από τον user για να μπορεί να το κάνει edit. Άρα 607.
Το group του χρήστη καλύτερα να είναι μόνιμα αποκλεισμένο (φυσικά αν η php τρέχει σαν module τότε αν δεν υπάρχει openbase dir, μπορεί να βολτάρει μέσω της php όπου θέλει).

Προφανώς όπου δεν χρειάζεται execute δεν το βάζουμε.

Αυτά τα ολίγα :)

PS: στο linux δεν υπάρχουν anonymous users ή guests όπως στα windows ( υπάρχει anonymous login για προγράμματα που το επεξεργάζονται αλλά κάνουν elevate στον αντίστοιχο χρήστη όπως το FTPd - και guest user που θα πρέπει να έχει user/group assigned χεράτο)
Cu, Rapid-eraser, Tα αγαθά copies κτώνται.
Love is like oxygen, You get too much you get too high
Not enough and you're gonna die, Love gets you high

Άβαταρ μέλους
korgr
Honorary Member
Δημοσιεύσεις: 5067
Εγγραφή: 07 Οκτ 2008 18:30
Τοποθεσία: Corinth
Επικοινωνία:

Απορία με chmod 707

Δημοσίευση από korgr » 05 Δεκ 2011 12:16

Από ότι συμπεραίνω δεν υπάρχει ένας τρόπος να έχει πλήρη πρόσβαση (r-w-e) και ο FTP User και η PHP όταν την τρέχει ο httpd έτσι?
Γι' αυτό και η πληθώρα των cms ή άλλων διαδικτυακών εφαρμογών προτείνουν το 0777 για να πετύχουν κάτι τέτοιο ε?

Άβαταρ μέλους
Rapid-eraser
WebDev Moderator
Δημοσιεύσεις: 6851
Εγγραφή: 05 Απρ 2003 17:50
Τοποθεσία: Πειραιάς
Επικοινωνία:

Απορία με chmod 707

Δημοσίευση από Rapid-eraser » 05 Δεκ 2011 12:34

Ναι δυστυχώς τα setup είναι άπειρα (fastcgi - PHP-FPM - isapi - suexec) και το καθένα παίζει με τον δικό του τρόπο όσον αφορά τα δικαιώματα.
Σκέψου ότι πχ μπορεί ο κάθε χρήστης να έχει και το δικό του group (λάθος τακτική) οπότε αυτόματα όλοι διαβάζουν τα πάντα με world δικαιώματα.

Οπότε αναγκαστικά πας έτσι .

Σημείωση τώρα που το είδα το 0 μπροστά στο 777 ορθώς το έχεις βάλει και έτσι πρέπει να γράφετε γιατί είναι οκταδικό το νούμερο και όχι δεκαδικό, οπότε χρειάζεται το πρόθεμα 0 για να το ξεχωρίζουμε :)
Cu, Rapid-eraser, Tα αγαθά copies κτώνται.
Love is like oxygen, You get too much you get too high
Not enough and you're gonna die, Love gets you high

Apostolis_38
Δημοσιεύσεις: 1969
Εγγραφή: 14 Φεβ 2008 16:20
Τοποθεσία: ΠΕΙΡΑΙΑΣ

Απορία με chmod 707

Δημοσίευση από Apostolis_38 » 05 Δεκ 2011 13:48

Μάλιστα.
Ενδιαφέροντα τα στοιχεία σου Rapid.

Για το anonymous/guests έχεις δίκο αλλά δεν ήξερα πως αλλιώς να το κάνω κατανοητό με απλά λόγια.

Απάντηση

Επιστροφή στο “PHP Προγραμματισμός”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες