 |
Бесплатные PHP скрипты - форум техподдержки |
Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!
|
| Сегодня: 20.04.2024 - 17:54:49
Помогите с настройкой форума| Объявление - WR-Scriptы в UTF-8 кодировке |
|---|
Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.
На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Планирую продолжить работы весь 2023 год.
|
| Автор | Сообщение |
|---|
Maksir •
M Участник форума
|
Цитата: Можно что угодно поставить, кто-же спорит. Только вы подумайте а на кой черт это надо? Тем более что это лишнюю потенциальную дыру для взломщика создает.
|
В Unix пользователи создаются от root и все настройки с доступом уже там есть. На хостере, домашние каталоги пользователей прописываются автоматически. Сам хостер - root, определяет все права и виртуальное пространство под хост. Это всё настройки, грубо говоря - настроенный хостинг-сервер.
Так что, от настроек сервера всё зависит. А на своём выделенном сервере Вы можете делать всё, что захотите. Даже если у вас там будет злой вирус, он не сможет повлиять на работу Хостера, поскольку, -> ваши запущенные процессы от имени рядового пользователя имеют ограничения. Это всё обусловленно нетолько самим Хостером, но и самой системой Unix. Это принципельное назначение всех этих настроек.
Цитата:| Еще раз повторяю: не судите только по себе. Если вам не нужно, это не значит что не нужно всем остальным. И лучше еще раз призадумайтесь над тем, почему бесплатные хостеры, вопреки вашим утверждениям поступают иначе. |
И хто Вам сказал, что 1gb.ru бесплатный Хостер??? (бред)
И что значит судить по себе? У меня две операционные системмы, по которым я могу судить. Это, та, что у меня (которую я могу как угодно вертеть), и та, которая на 1gb.ru , к которой я никакого влияния не имею. И потом, есть определённо явная разница между Windows и Unix системами. Я вам про динамику настроек, вы мне какой-то бред... Я же утверждаю, что права 755 на сервере ненужны. Если конкретно, - права "Для всех остальных", то есть для тех, которых нет в системе. Это чисто теоретически - запуск процесса от имени несуществующего пользователя. Это нормально в Windows, но, это ненормально в среде Unix. Есть понятия, сложной пока для Вас динамики прав и запуск процессов. -> Сервер на площадке Unix может обойтись без прав "Для всех", потому что есть правило, по которому выполняются все процессы в этой среде. (никакая служба/программа - любой заупщеный процесс, от имени рядового пользователя, не может перехватить, или повлиять на Родительский процесс) И назначение прав "Для всех", это всего лишь дополнение, которое необходимо при работе только с личными документами (файлами). Эти права не влияют на работу сервера, а только создают потенцеальную опасность.
Любая служба/программа, - в данном случае сервер httpd, запущенный от пользователя root, смотрит в приоритете прав - 1 Владелец (имеет ли он право), потом - 2 Группа (назначенны ли этой группе права владельца и т.п...) А уж потом только - 3 "Все остальные" (разрешил ли Владелец для Всех других просматривать файл с паролями в обход зарегестрированных в системе для этих операций специальных служебных сценариев?) И только такой админ, как Вы, выставите такие права Для всех.
Михаил, в таком случае, поставил в начале файла функцию - die(); , что бы интропретатор PHP закрыл Для всех просмотр этого файла в обход сценария. И я, хочу заметить, что это ошибка. В этом случае лучше всего закрыть права "Для всех" традиционным способом.
Shurik2975 ссылку дайте. Не посмотреть, о чем речь, собственно. | |
|
| Сообщение # 85 |
04.05.08 - 15:36:06
|  |
Rootman •
R гость
|
Цитата: | В Unix пользователи создаются от root и все настройки с доступом уже там есть. На хостере, домашние каталоги пользователей прописываются автоматически. Сам хостер - root, определяет все права и виртуальное пространство под хост. Это всё настройки, грубо говоря - настроенный хостинг-сервер. |
Ну я и говорю, поставить можно как угодно, другое дело, будет-ли это безопасно. Предлагаемый вами вариант не совсем безопасен, через nobody будет безопаснее.
Цитата: И хто Вам сказал, что 1gb.ru бесплатный Хостер??? (бред)
|
Я бы и на платном не стал давать юзерам возможности выполнять скрипты как вледелец. Жирно это и небезопасно. Выше писал почему.
Цитата:| Я вам про динамику настроек, вы мне какой-то бред... Я же утверждаю, что права 755 на сервере ненужны. Если конкретно, - права "Для всех остальных", то есть для тех, которых нет в системе. |
Опять по себе судите. В следющий раз когда будете утверждать что-либо подобное лучше сразу пишите "Я же утверждаю, что права 755 на сервере МНЕ ненужны.", а то опять получается что за всех говорите. Я вам показал что на известных бесплатных хостингах - нужны. И причины указал зачем нужны а вы мне все упорно про свой случай рассказываете, игнорируя все остальные. Если все так, как вы утверждаете, может обьясните зачем тогда вообще в Линуксе нужны права "Для всех остальных"? Убрать их как ненужную вещь и всего делов. Однако что-то никто не торопится это делать.
Цитата:| Это нормально в Windows, но, это ненормально в среде Unix. |
Да ладно вам про Виндовс, у нее тоже каждый процесс под своим именем работает, посмотрите в диспетчере задач.
Цитата:| Сервер на площадке Unix может обойтись без прав "Для всех", потому что есть правило, по которому выполняются все процессы в этой среде. |
Может, да только почему-то мало кто это использует. Наоброт, в любом дистрибутиве про файлы, которым требуются права на запись указываются атрибуты 666 и 777 для каталогов.
Да вот, к примеру, возьмем известный скрипт phpBB. Вы же не считаете его разработчиков глупцами? Однако читаем README:
Change the permissions on config.php to be writeable by all (666 or -rw-rw-rw- within your FTP Client)
И далее:
Change the permissions on config.php to be writeable only by yourself (644 or -rw-r--r-- within your FTP Client)
Обратите внимание, аттрибут "чтение для всех" по-прежднему стоит, никто не обирается его убирать.
Одного примера хватит, или надо еще?
Цитата: Эти права не влияют на работу сервера, а только создают потенцеальную опасность.
Любая служба/программа, - в данном случае сервер httpd, запущенный от пользователя root, смотрит в приоритете прав - 1 Владелец (имеет ли он право), потом - 2 Группа (назначенны ли этой группе права владельца и т.п...) |
Сколько-же можно говорить одно и тоже. Не обслуживает httpd пользователей под рутом, а под тем владельцем/группой, что заданы в него в настройках в опциях User, Group
Вы наверное понять не можете, как это так, запускается сервак из под рута, а пользователей под другими правами обслуживает, так я вам обьясню.
Базовый процесс действительно запускается и работает под рутом, но когда происходит запрос, процесс выполняет вызов fork, создавая свой клон. Клон в свою очередь (он тоже еще под рутом) в соответствии с заданными опциями User, Group меняет свои права с администраторских на указаные и лишь затем начинает обрабатывать запросы и читать файлы. Причем этих клонов запускается несколько, их количество так же задается через конфиг, по умолчанию если не ошибаюсь их 5 штук.
Если-же вам совсем приспичило, могу привести кусок исходника на Си, где он этот fork делает.
Цитата: Михаил, в таком случае, поставил в начале файла функцию - die(); , что бы интропретатор PHP закрыл Для всех просмотр этого файла в обход сценария. И я, хочу заметить, что это ошибка. В этом случае лучше всего закрыть права "Для всех" традиционным способом.
|
Если закроете права "Для всех", многие сервера вообще не смогут прочесть файл. Михаил совершенно правильно сделал, поскольку в этом случае файл будет работать на всех серверах, независимо от того, какие у них настроены права доступа . | |
|
| Сообщение # 86 |
05.05.08 - 06:14:25
| |
Maksir •
M Участник форума
|
Цитата: Ну я и говорю, поставить можно как угодно, другое дело, будет-ли это безопасно. Предлагаемый вами вариант не совсем безопасен, через nobody будет безопаснее.
|
Предлогаемый мною вариант, безопасен уже с той точки зрения, что количество потенциальных "Владельцев" на файл сузился благодаря настройкам 640.
Сервер выполняет запросы со стороны любого пользователя. Сервер httpd сам выполняет сценарии от имени любой Группы и Владельца. "Все остальные" ему не нужны. Сервер настроен и запущен от пользователя root .
Цитата: Я бы и на платном не стал давать юзерам возможности выполнять скрипты как вледелец. Жирно это и небезопасно. Выше писал почему.
|
А вас никто не спрашивает.
Владелец волен делать что угодно в своём домашнем каталоге. Он не может своими правами повлиять на работу сервера.
Если бы у вас небыло бы этих прав, вы бы не смогли заходить на ftp со своим логином и паролем, по причине, что Вас нет в системме. Когда Вы регестрируетесь, то root заводит на вас учётную запись. Даёт Вам ключи - логин и пароль. Ваши права на сервере уже определены. В системме Unix, под вашим логином создаётся домашняя директория для сайта, куда все конфиги для вас уже прописаны. Никто ничего не копирует и не заморачивается. Системма сама создаёт каталог по-умолчанию, как только заводится новый пользователь.
Цитата:| Опять по себе судите. В следющий раз когда будете утверждать что-либо подобное лучше сразу пишите "Я же утверждаю, что права 755 на сервере МНЕ ненужны.", |
Я не говорю за всех, а говорю как есть. Если для Вас разницы в этих правах несуществует, то это Ваши проблемы и нечего ко мне приператься. Пишу, что думаю. А думаю я очень часто. И когда я пишу, то сверяюсь с книгой по Unix, потому что я не Штирлец, что бы всё помнить. Если где-то не прав, я говорю, - да, я тут бал лишку. (такое уже было) Я же вам даю ссылку на источники по Unix, потому что мне вам не продемонстровать книжку по основам. Вы же опять с этими основами ко мне лезите... Я Вам говорю, - google и параметр для поиска - chmod - Нефиг тут чушь нести. Надоели уже!
Цитата:| Да ладно вам про Виндовс, у нее тоже каждый процесс под своим именем работает, посмотрите в диспетчере задач. |
И вирусы в одной линейке работают с этими процессами...
Я Вам про динамические настройки в Unix, а Вы мне про вечную проблему Windows... Да если бы у Windows хотя бы что-то работало по такому принципу, никаких бы широких проблем с безопасностью не было бы.
Я смотрю, Вам про динамику настроек в Unix бесполезно объяснять. У вас же всё одним цветом мазанно, что Win, или Unix - безразницы... И админ вы такой же. Как дадите на всех и всё одни и те же права, так и работает всё через ж...
Цитата:| Может, да только почему-то мало кто это использует. Наоброт, в любом дистрибутиве про файлы, которым требуются права на запись указываются атрибуты 666 и 777 для каталогов. |
Вы говорили, что у Вас 10 лет стаж опыта работы в среде Unix. Я уже не сомневаюсь, что это просто трёп малолетнего. Вы мне скажите, - где в *nix системах Вы видели файлы с правами 777 ? Может, они нужны для Вашего навароченного сайта, а для такой скромненькой системмы, как Unix, они ненужны, по этому и не используются.
Да уж, наврное, для такой сложной динамики и сложных алгоритмов на Вашем сайте, без специальных прав 777 ну никак не обойтись! пипец! Unix отдыхает!
| |
|
| Сообщение # 87 |
05.05.08 - 14:45:38
| |
Maksir •
M Участник форума
|
Цитата:
| Сколько-же можно говорить одно и тоже. Не обслуживает httpd пользователей под рутом |
Где root? В слове "Владелец"? Ну... да... это нормально для админа с 10 летним стажем опыта в среде Unix... 
Цитата: Вы наверное понять не можете, как это так, запускается сервак из под рута, а пользователей под другими правами обслуживает, так я вам обьясню.
Базовый процесс действительно запускается и работает под рутом |
Значит Вы со мной согласны всё-таки хоть в чем-то.
Я же Вам писал, как я запускаю сервер из под root ... или вы меня не поняли?
А про родительские процессы?
Меня сейчас мало интересует, как там польлзователь работает. Важно что "Все остальные", для его помощи ненужны!
Цитата:| Если закроете права "Для всех", многие сервера вообще не смогут прочесть файл. |
Какие например? Те, которые неправильные сервера?
я же говорю - им не место в рунете вообще!
Если такому серверу нужны такие права, то кто угодно может написать или воспользоваться специальной программой, что бы взять данные из конкретного файла на этом сервере.
Права для "Все остальные", это всего лишь дополнение. Они ненужны. Сервер сам разберётся, что ему делать. Только сервер должен решать, - показывать файл, или нет. "Все остальные" здесь вообще ни при чем!
Права для "Все остальные" в какталоге вашего сервера нужно обязательно закрывать.
Пример: 777 => 770, 666 => 660
что бы не ломать голову, можно использовать одни и те же права для всех файлов 640. Это права определяют - 1) "6" - чтение и запись - для Владельца 2) "4" чтение - для Группы 3) "0" - права для всех закрыты. Это последний числитель, он существует для определения "Все кто неучтены в системме". Попросту - служит для обхода всех существующих правил для Владельцев и Групп, которые определены в системе. Эти "Все остальные", служат дополнением, но для них так же можно определить, что эти "Все, кто угодно", могут (4) читать, (2) записывать/модифицировать (1) выполнять/поиск. Вместе 4+2+1=7 И все эти правы для локальных служб Сервера, или системмы. Системма Unix определяет, какие файлы можно читать и кому. Cервер httpd действует по такому же принципу. | |
|
| Сообщение # 88 |
05.05.08 - 14:46:09
|
|
Rootman •
R гость
|
Цитата: Предлогаемый мною вариант, безопасен уже с той точки зрения, что количество потенциальных "Владельцев" на файл сузился благодаря настройкам 640.
|
Если вы будете относить юзеров к той же группе, под который работает сервер (а вы как я понял это предлагали), то ваш вариант по сути мало чем будет отличаться от моего ведь группа-то у всех одна. Я понимаю что вы задались целью впринципе избавиться от аттрибута "для всех остальных", ну как говориться и флаг в руки, мне лично эта мозготрепка не нужна. И судя по FAQ - большинству хостеров тоже не нужна.
Цитата: Сервер httpd сам выполняет сценарии от имени любой Группы и Владельца. "Все остальные" ему не нужны. Сервер настроен и запущен от пользователя root .
|
На какую настроите, от такой и будет выполнять. Если специально не использовать режим suexec, но это дыра еще большая, чем ваш вариант.
Цитата: Владелец волен делать что угодно в своём домашнем каталоге. Он не может своими правами повлиять на работу сервера.
|
Еще как может, если сервер запущен с его-же именем и группой. Ведь как владелец он может управлять всем и программами, работющими под его именем.
Цитата:| Если бы у вас небыло бы этих прав, вы бы не смогли заходить на ftp со своим логином и паролем, по причине, что Вас нет в системме. |
Обясняю, как это положено делать.
1. Сервер работает под nobody:nobody
2. Создается новый юзер vasya:users, в качестве шелла ему ставится /dev/null (чтобы не было шелла). При создании юзера ему автоматом будет создан домашний каталог.
3. Права ставят 755. Тем самым никто кроме владельца ничего в этот каталог записать не сможет, только если владелец с%E | |
|
| Сообщение # 89 |
06.05.08 - 06:31:44
| |
Rootman •
R гость
|
Цитата: Предлогаемый мною вариант, безопасен уже с той точки зрения, что количество потенциальных "Владельцев" на файл сузился благодаря настройкам 640.
|
Если вы будете относить юзеров к той же группе, под который работает сервер (а вы как я понял это предлагали), то ваш вариант по сути мало чем будет отличаться от моего ведь группа-то у всех одна. Я понимаю что вы задались целью впринципе избавиться от аттрибута "для всех остальных", ну как говориться и флаг в руки, мне лично эта мозготрепка не нужна. И судя по FAQ - большинству хостеров тоже не нужна.
Цитата: Сервер httpd сам выполняет сценарии от имени любой Группы и Владельца. "Все остальные" ему не нужны. Сервер настроен и запущен от пользователя root .
|
На какую настроите, от такой и будет выполнять. Если специально не использовать режим suexec, но это дыра еще большая, чем ваш вариант.
Цитата: Владелец волен делать что угодно в своём домашнем каталоге. Он не может своими правами повлиять на работу сервера.
|
Еще как может, если сервер запущен с его-же именем и группой. Ведь как владелец он может управлять всем и программами, работющими под его именем.
Цитата:| Если бы у вас небыло бы этих прав, вы бы не смогли заходить на ftp со своим логином и паролем, по причине, что Вас нет в системме. |
Обясняю, как это положено делать.
1. Сервер работает под nobody:nobody
2. Создается новый юзер vasya:users, в качестве шелла ему ставится /dev/null (чтобы не было шелла). При создании юзера ему автоматом будет создан домашний каталог.
3. Права ставят 755. Тем самым никто кроме владельца ничего в этот каталог записать не сможет, только если владелец сам не даст доступа на запись. Сервер тоже не сможет, поскольку у него владелец и группа другие. Соот. запись данных скриптам дается только через "все остальные". Любая другая установка аттрибутов исключает доступ на запись для скриптов на сервере, и если сайт будет взломан - злоумышленник может получить доступ на запись только к файлам с аттрибутами "запись для всех остальных", никаких других файлов он изменить/удалить не сможет. А в предлагаемом вами варианте он сможет делать с файлами все что угодно.
Цитата:| Я не говорю за всех, а говорю как есть. Если для Вас разницы в этих правах несуществует, то это Ваши проблемы и нечего ко мне приператься. |
Да нет, только за себя говорите. За всех я вам сказал, приведя FAQ.
Цитата:| Да если бы у Windows хотя бы что-то работало по такому принципу, никаких бы широких проблем с безопасностью не было бы. |
Речь не о безопасности а о правах доступа. Уж не хотите-ли вы сказать что в Линуксе нет никаких проблем с безопасностью? На самом деле Линукс весьма просто поломать. При загрузке системы, когда появится окно загрузчика Lilo, можно указать файл, загружаемый вместо init, например /bin/bash и результат - вы попадете в консоль с правами админа. Вот и весь "взлом".
Цитата: Вы мне скажите, - где в *nix системах Вы видели файлы с правами 777 ? Может, они нужны для Вашего навароченного сайта, а для такой скромненькой системмы, как Unix, они ненужны, по этому и не используются.
|
Где говорите видел? Например:
1. В каталоге /tmp
2. Каталоге /var/tmp
А как иначе, ведь там временные файлы хранятся, поэтому запись должна быть разрешена для всех без исключения.
Цитата: Меня сейчас мало интересует, как там польлзователь работает. Важно что "Все остальные", для его помощи ненужны!
|
Вот поэтому и понять меня не можете, поскольку не интересуют вас эти вопросы. Иначе поняли-бы наконец о чем речь.
Цитата: Какие например? Те, которые неправильные сервера?
я же говорю - им не место в рунете вообще!
|
Ну да, в рунете место хостерам, позволяющих с помоью дырок в скрипте менять и уничтожать нафиг все существующие файле на сайте, а не только доступные для записи. Жжете однако.
Цитата: Если такому серверу нужны такие права, то кто угодно может написать или воспользоваться специальной программой, что бы взять данные из конкретного файла на этом сервере.
|
В вашем случае тем более будет тоже самое, хоть вы права 400 поставьте, ведь сервер-то у вас работает в правами того же владельца что и загруженный на него файл.
Цитата:| Права для "Все остальные", это всего лишь дополнение. Они ненужны. |
Если не нужны, почему же они тогда все еще существуют в Линукс и Юникс?
| |
|
| Сообщение # 90 |
06.05.08 - 06:31:46
| |
Maksir •
M Участник форума
|
Цитата: | Если вы будете относить юзеров к той же группе, под который работает сервер (а вы как я понял это предлагали), то ваш вариант по сути мало чем будет отличаться от моего ведь группа-то у всех одна |
Нет. я извинился сразу (невнимательно прокоментировал). Но, всё равно, эти права работают, но только на локальном - личном сервере. Это касается вопроса только о том, что происходит с правами. На удалённом сервере, у Хостера, я не могу менять ни Владельца ни Группу, и это естественно в любой среде *nix.
Здесь не важно, как там работает Владелец и Группа. Мы видим, что в Win и *nix системмах, это происходит неодинаково, это первое.
Второе, "Все остальные", для работы сервера ненужны по определению, - потому что сам Сервер выполняет все функции и предоставляет доступ - но только это должно быть строго по сценарию, который мы пишим на PHP и определяем по свойствам системмы. "Все остальные" в этом спектакле - лишние. Владелец и Группа, они как бы - за кулисами всё решают с Сервером. А снаружи - народ. По этому, Сервер предоставляет доступ строго по сценарию.
И ещё, чтобы "не зраываться" - я имею ввиду только файлы, а не каталоги. Речь идёт только о файлах предназначеных для хранения секретной информации, которые должны передоваться строго по сценарию написанному на PHP.
Цитата:| 3. Права ставят 755. Тем самым никто кроме владельца ничего в этот каталог записать не сможет, только если владелец сам не даст доступа на запись. Сервер тоже не сможет, поскольку у него владелец и группа другие. |
Сервер запускается от root. А вы, обычный пользователь со своим каталогом для работы вашей странички на этом сервере, но вы не можете влиять на работу сервера.
Цитата:| злоумышленник может получить доступ на запись только к файлам с аттрибутами "запись для всех остальных", никаких других файлов он изменить/удалить не сможет. А в предлагаемом вами варианте он сможет делать с файлами все что угодно |
Это как?
Если в вашем варианте, злодей может прочитать файлы только те, которые определены для "Всех остальных". В моём варианте таких файлов и в помине нету, потому что я предлогаю их закрыть. Это как же так получается???
Цитата:| Линукс весьма просто поломать. При загрузке системы, когда появится окно загрузчика Lilo, можно указать файл, загружаемый вместо init, например /bin/bash и результат - вы попадете в консоль с правами админа. Вот и весь "взлом". |
Можно и не указывать. И это не взлом вовсе. Можно просто загрузиться с RIPLinux, с любой системмы загружаемой с диска, можно также и просто переподключить винчестеры на другом компьютере.
Я вам говорю, что в среде *nix нет вирусов, потому что так определена динамика прав и взаимодействия процессов. Были попытки написать вирусы, были проведены и удачные эксперименты, но, это единичные случаи, которые - были и уже вошли в историю.
И никто не отменял действовать против *nix системм. Если корпорации Microsoft выгодно показать некомпитентность других, и прорекламировать свои наработки, то они стараются из-зо всех сил. И вирус написать для этой цели, это тоже - оружее в руках конкурентов.
Так что, вирусами для любых системм будут заниматься все и всегда. Чем выше технологии, тем больше поле для сражения на этом рынке.
Но, только, в Unix/Linux/Mac нет таких проблем с безопасностью и никогда не будет, потому что работает слаженный механизм, проверенный временем.
Например: В космических программах используют именно Debian (а не Windows XP) понятно почему, да?  
Цитата:| Если не нужны, почему же они тогда все еще существуют в Линукс и Юникс |
Права "Все остальные", они нужны для локальной работы с файлами, по этому и существуют в системме. Например, есть служебные программы. Так же, программы запускаемые через эмулятор Windows, которым нужны отдельные права выставлять. Это Операционная системма, разные ситуации могут быть. Но, Операционная системма, это не Сервер, это к вашему сведению разные вещи. Linux не предоставляет доступ сам по себе. Для этих целей служат специальные программы с их протоколами, которые и установить, и отконфигурировать нужно вручную, и запустить. И все эти действия от имени лишь одного пользователя - root. А Windows использует всё сразу, как только попадает в сеть, или видит новую папку, или диск. Флэшку вставил и привет... пошёл нюхать что там лежит. И права там, Владельцы и Группы - не имеют никакого значения. Если там вирус, то он обязательно пропишит сам себя куда-нибудь поближе к кухне, и запускать будет сам себя от имени Билла Гейтца. | |
|
| Сообщение # 91 |
06.05.08 - 15:39:48
| |
Rootman •
R гость
|
Цитата: | Второе, "Все остальные", для работы сервера ненужны по определению, - потому что сам Сервер выполняет все функции и предоставляет доступ - но только это должно быть строго по сценарию, который мы пишим на PHP и определяем по свойствам системмы. |
Обьясните это хостерам, которые требуют установки подобных прав. Еще раз спрашиваю, считаете себя умнее всех админов? Это при том, что я вам тысячу раз обьяснял зачем нужны такие права.
Цитата: Сервер запускается от root. А вы, обычный пользователь со своим каталогом для работы вашей странички на этом сервере, но вы не можете влиять на работу сервера.
|
От root он только запускается, а работает он с совсем другими правами. Теми, которые вы ему в конфиге пропишите. И если эти права совпадают с теми, под которыми работает скрипт я соотвественно как владелец могу управлять процессами сервера.
Цитата: Если в вашем варианте, злодей может прочитать файлы только те, которые определены для "Всех остальных". В моём варианте таких файлов и в помине нету, потому что я предлогаю их закрыть. Это как же так получается???
|
В вашем варианте злодей как владелец может не только прочитать любой файл, но и сделать с ним все что угодно. Ведь скрипты-то у вас работают с правами владельца.
Цитата:| Можно и не указывать. И это не взлом вовсе. Можно просто загрузиться с RIPLinux, с любой системмы загружаемой с диска, можно также и просто переподключить винчестеры на другом компьютере. |
Ну ничего себе не взлом, вход в систему с правами админа без ввода пароля. Как раз взлом, если я могу спокойненько подойти к серверу, перезагрузить его и сразу получить админские права.
Цитата: Но, только, в Unix/Linux/Mac нет таких проблем с безопасностью и никогда не будет, потому что работает слаженный механизм, проверенный временем.
Например: В космических программах используют именно Debian (а не Windows XP) понятно почему, да? |
Конечно понятно. Потому что американцам делать больше нечего. В таких вещах как космос используют строго специализированные встроенные системы типа QNX, но уж никак не Линукс. Да и откуда вы эти сведения вообще взяли? Меньше верите всякого рода пропаганде.
Цитата:| Права "Все остальные", они нужны для локальной работы с файлами, по этому и существуют в системме. Например, есть служебные программы. Так же, программы запускаемые через эмулятор Windows, которым нужны отдельные права выставлять. Это Операционная системма, разные ситуации могут быть. |
Ну вот пожалуйста httpd это тоже своего рода служебная программа, какие проблемы-то? Вот хостеры и указывают, какие права необходимы для нормальной работы сайта. 755 и 666
Цитата:| Linux не предоставляет доступ сам по себе. Для этих целей служат специальные программы с их протоколами, которые и установить, и отконфигурировать нужно вручную, и запустить. |
Доступ к файлам и к сети в Линуксе предоставляется на уровне ядра а не программ. Собственно сетевые протоколы они как раз и зашиты в ядро. За исключением разве что протокола SMB, впрочем для его работы тоже необходим несущий TCP/IP-протокол ядра.
Цитата:| А Windows использует всё сразу, как только попадает в сеть, или видит новую папку, или диск. Флэшку вставил и привет... пошёл нюхать что там лежит. |
О как. А про automount в Линуксе вы когда-нибудь слышали? Я понимаю что в вашем ArchLinux его может быть еще и нет, но в большинстве современных дистрибутивов он имеется.
Цитата:| И права там, Владельцы и Группы - не имеют никакого значения. Если там вирус, то он обязательно пропишит сам себя куда-нибудь поближе к кухне, и запускать будет сам себя от имени Билла Гейтца. |
Эта проблема связана не с владельцами и группами а с уязвимостью непосредственно программного обеспечения. Раз уж вы решили сравнивать безопасность систем, то и сравнивайте соответственно только системную часть. Ядро Винды и ядро Линукса к примеру, а то дырявого софта и под Линуксом можно откопать немало.
| |
|
| Сообщение # 92 |
12.05.08 - 06:22:40
| |
Maksir •
M Участник форума
|
Цитата: | Еще раз спрашиваю, считаете себя умнее всех админов? |
Вы не спрашивали не разу. Это у вас нервное...
Спокойнее, rootman, я не считаю себя умнее всех. Именно по этому, у меня в руках книга на всякий случай. Но, если бы вы сами умели думать и размышлять, то наверняка бы поняли о чем я говорю. И в некотором подтексте внесли бы свою поправку. А так, как этого не произошло, и я вижу где я сам допустил ошибку, то это значит, что я умнее вас. (а может упрямее чем вы) Но, я вам объясню почему. Вы помните что я вам показывал эксперементально наглядный пример с правами 644 и 640 ? Так вот, здесь действует правило "динамический" и "статический" элимент/файл. Если мы берём файл через интропритатор PHP, то права на файл "Все остальные", они действительно ненужны. Но, если файл "статический", такой как index.html , то в этом случае обязательно нужны права для "Всех остальных". Увы, так устроен apache, что не является опасным с правами 644
Вот по этому, в многозначительных справках, вам рекомендуют права типа 755 и 644. Но, что неприемлемо для динамически-меняющихся файлов.
я не считаю себя умнее других. Но, Вы мне не оставляете выбора, поскольку, не разу не привели ни одного убедительного и рассудительного ответа. Кто должен за вас думать, если вы админ? Справочный материал, который пишут такие же люди, как вы?
Вы не разу не предоставили мне никаких серъёзных причин, кроме тех, что у вас - авторы phpBB - это авторитет и их решения для вас - аксиома.... Почему я должен думать так, а не иначе?
По этому я вам и говорю, что вы - пустомеля! Вы говорите бред... Это значит, что в ваших словах нет никакой смысловой значимости.
я, не предусмотрел разницу динамически меняющихся сценариев и простых, обычных статических файлов html. Вы, утверждаете, что права "Для всех" нужны, но выходит, что - сами не знаете, или "не сечёте", - почему они нужны... ссылаетесь на FAQ хостеров. Вы, как админ, должны думать за всех, а не читать всякую дребедень. | |
|
| Сообщение # 93 |
12.05.08 - 13:57:11
| |
Maksir •
M Участник форума
|
Цитата: | О как. А про automount в Линуксе вы когда-нибудь слышали? Я понимаю что в вашем ArchLinux его может быть еще и нет, но в большинстве современных дистрибутивов он имеется. |
И что дальше? Может, ещё и автозапуск файлов там есть?
Динамика прав в Linux работает таким образом, что простой пользователь не может влиять на процессы. Только root может.
В Linux можно всё собрать вручную, без установки ненужного мусора вместе с программным кодом. Здесь существенная разница, как и у автогонщиков, - автамтическая коробка передачь, или ручная?
Цитата:| В таких вещах как космос используют строго специализированные встроенные системы типа QNX, но уж никак не Линукс. Да и откуда вы эти сведения вообще взяли? |
Книжки читаю. Первым в космос полетел Debian. Потом, может и появился специализированное программное обеспечение. Что, вполне вероятно.
Цитата: Эта проблема связана не с владельцами и группами а с уязвимостью непосредственно программного обеспечения. Раз уж вы решили сравнивать безопасность систем, то и сравнивайте соответственно только системную часть. Ядро Винды и ядро Линукса к примеру, а то дырявого софта и под Линуксом можно откопать немало.
|
Вопервых, речь идёт о httpd модуль apache. Этот Сервер написан специально для *nix систем и работает он по принципу Unix-подобным. Очень надёжный сервер. Его принципы конфигурирования известны и полноценно работать он может только в своей родной среде. В Windows, это всего лишь интропритатор. Переделать его почти невозможно (это не предусмотренно вообще никак).
Со стороны систем, говоря о ядрах операционных систем, Вы шагнули дальше всех, как я погляжу. Вы, наверное, каждый день перекомпилируете сервера на Windows таким образом, что бы злодеи не смогли бы их захватить. Если это так, может покажите нам конфиг Windows? Ядро Linux состоит из поддержки модулей, в основном, это поддержка железа, а не сети. Ядро, в котором можно исключить ненужное и оставить нужное проверенное временем, надёжное. Эти модули не предоставляют доступ через сеть, они просто помогают. Процесс "из вне", не может доменировать над процессами в системе Unix/Linux. Если что-то происходит не так, то этот процесс можно пресечь и исключить. Можно пересобрать и переписать код, перекомпелировать полностью систему. В Windows, вы этого сделать не сможете. Вы будете юзать только то, что вам подсовывают. | |
|
| Сообщение # 94 |
12.05.08 - 16:09:21
| |
Rootman •
R гость
|
Цитата: Так вот, здесь действует правило "динамический" и "статический" элимент/файл. Если мы берём файл через интропритатор PHP, то права на файл "Все остальные", они действительно ненужны. Но, если файл "статический", такой как index.html , то в этом случае обязательно нужны права для "Всех остальных". Увы, так устроен apache, что не является опасным с правами 644
|
Увы, так не просто устроен Apache, просто он скомпилирован на хосте с поддержкой функции suexec, позволяющей запускать скрипты от имени другого пользователя, а не того, который прописан в настройках по умолчанию. Однако это очень небезопасная штуковина, потому что один неверный шаг в настройках и скрипт у вас может запуститься под рутом. Использовать эту функцию лучше только в крайнем случае, когда действительно зачем-то необходимо запускать скрпиты от другого пользователя. В остальных случаях ее лучше отключать.
Цитата: Вот по этому, в многозначительных справках, вам рекомендуют права типа 755 и 644. Но, что неприемлемо для динамически-меняющихся файлов.
|
Вот поэтому в справках и рекомендуют права с записью и чтением для всех остальных, поскольку хостеры понимают, что нельзя давать всем подряд suexec, они справедливо отлючают эту функцию, в результате все скрипты запускаются от nobody и для записи в файлы приходится ставить права "Для всех остальных".
Цитата:| Но, Вы мне не оставляете выбора, поскольку, не разу не привели ни одного убедительного и рассудительного ответа. Кто должен за вас думать, если вы админ? Справочный материал, который пишут такие же люди, как вы? |
Вот и прочитайте где-нибудь в справочном материале про suexec. Везде будет написано, что использовать эту штуку надо с большой осторожностью. Чтобы далеко не ходить, прямо из документации к Apache (manual/suexec.html)
Second, it is assumed you are familiar with some basic concepts of your computer's security and its administration. This involves an understanding of setuid/setgid operations and the various effects they may have on your system and its level of security.
В переводе это означает то что я писал выше. Можете сами перевести, если не верите.
Цитата: Вы не разу не предоставили мне никаких серъёзных причин, кроме тех, что у вас - авторы phpBB - это авторитет и их решения для вас - аксиома.... Почему я должен думать так, а не иначе?
|
А почему собственно авторов phpBB нельзя считать авторитетными? Это серьезный коллектив разработчиков, который много лет разрабатывает и поддерживает один из самых популярных форумных движков в Интернете. Они заслужили авторитет. Впрочем, если вас не устраивает авторитет команды phpBB, как насчет авторитетности разработчиков самого Apache и того текста из манула, что я привел чуть выше?
Цитата:| я, не предусмотрел разницу динамически меняющихся сценариев и простых, обычных статических файлов html. Вы, утверждаете, что права "Для всех" нужны, но выходит, что - сами не знаете, или "не сечёте", - почему они нужны... ссылаетесь на FAQ хостеров. |
Да нет, я делеко не один раз обьяснял, зачем они нужны. Без них на многих хостах вы не сможете ни считать файл, ни что-нибудь в него записать. И я говорил вам это неоднократно.
Цитата: И что дальше? Может, ещё и автозапуск файлов там есть?
|
Разумеется, например KDE это умеет, автоматом монтировать компакт-диски и открывать автоматом их содержимое в Konqueror, а если это настроить, то вместо Konqueror-а можно выполнить wine autorun.exe и вперед. Ну если у вас разумеется установлен Wine
Цитата: Динамика прав в Linux работает таким образом, что простой пользователь не может влиять на процессы. Только root может.
|
Простой пользователь может как влделец влять на те процессы, которые запущены от его имени. Так если вы запустите Apache из консоли, зайдя в нее под именем user, вы спокойно сможете с помошью kill убить его процесс.
| |
|
| Сообщение # 95 |
13.05.08 - 10:03:18
| |
Rootman •
R гость
|
Цитата: Книжки читаю. Первым в космос полетел Debian. Потом, может и появился специализированное программное обеспечение. Что, вполне вероятно.
|
Да вы не утверждайте, вы факты приведите, из какого источника вы это взяли. Если из источника, посвященного Линуксу, тогда его нельзя считать непредвзятым.
Цитата: Вопервых, речь идёт о httpd модуль apache. Этот Сервер написан специально для *nix систем и работает он по принципу Unix-подобным. Очень надёжный сервер. Его принципы конфигурирования известны и полноценно работать он может только в своей родной среде. В Windows, это всего лишь интропритатор. Переделать его почти невозможно (это не предусмотренно вообще никак).
|
Какой интерпретатор, откуда вы это выкопали. В Винде это точно такой-же бинарный EXE-файл, как и все остальные файлы в этой системе. Тем более что Си, на котором написан этот сервер, язык универсальный и кросплатформенный. В Винде у httpd просто есть несколько ограничений на функции, которые там не работают, только и всего.
Цитата:| Со стороны систем, говоря о ядрах операционных систем, Вы шагнули дальше всех, как я погляжу. Вы, наверное, каждый день перекомпилируете сервера на Windows таким образом, что бы злодеи не смогли бы их захватить. Если это так, может покажите нам конфиг Windows? |
Речь была не о компиляции ядер, а об их безопасности. Если вы сравниваете безопасность систем, то и делайте именно это, а не сравнивайте безопасность софта, который по системой работает.
Цитата:| Ядро Linux состоит из поддержки модулей, в основном, это поддержка железа, а не сети. |
Как-же. В раздел конфигурации сети в ядре загляните, там кроме поддержки железа очень много чего для поддержки имено сети, и тунелирование, и расширенная маршрутизация и НАТ и поддержка протоколов. Очень много чего.
Цитата:| Процесс "из вне", не может доменировать над процессами в системе Unix/Linux. |
Если дыра в процессе, который работает по рутом - еще как может. И таких случаев на сайтах по безопасности можно при желании отыскать не мало.
Цитата:| Можно пересобрать и переписать код, перекомпелировать полностью систему. В Windows, вы этого сделать не сможете. Вы будете юзать только то, что вам подсовывают. |
А для админа это почти без разницы, большинство из них не настолько крутые программисты, чтобы самостоятельно переписывать что-то в ядре системы. В любом случае они используют то готовое, что им дают. | |
|
| Сообщение # 96 |
13.05.08 - 10:03:31
| |
|
Главная сайта