Форум техподдержки бесплатных PHP скриптов

Форум техподдержки бесплатных PHP скриптов

Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!

Главная сайта бесплатных php скриптовГлавная сайта   ПоискПоиск  
Сегодня: 23.10.2020 - 11:25:56
Страницы:  1 ... 6  7  8  9  10  ... 29
Объявление - WR-Scriptы в UTF-8 кодировке

Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.

На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Работы продолжаются и в 2020 году. Ура!

АвторСообщение

Maksir

M
Участник форума


Можно что угодно поставить, кто-же спорит. Только вы подумайте а на кой черт это надо? Тем более что это лишнюю потенциальную дыру для взломщика создает.

Цитата

В Unix пользователи создаются от root и все настройки с доступом уже там есть. На хостере, домашние каталоги пользователей прописываются автоматически. Сам хостер - root, определяет все права и виртуальное пространство под хост. Это всё настройки, грубо говоря - настроенный хостинг-сервер.

Так что, от настроек сервера всё зависит. А на своём выделенном сервере Вы можете делать всё, что захотите. Даже если у вас там будет злой вирус, он не сможет повлиять на работу Хостера, поскольку, -> ваши запущенные процессы от имени рядового пользователя имеют ограничения. Это всё обусловленно нетолько самим Хостером, но и самой системой Unix. Это принципельное назначение всех этих настроек.

Еще раз повторяю: не судите только по себе. Если вам не нужно, это не значит что не нужно всем остальным. И лучше еще раз призадумайтесь над тем, почему бесплатные хостеры, вопреки вашим утверждениям поступают иначе.

Цитата

И хто Вам сказал, что 1gb.ru бесплатный Хостер??? (бред)
И что значит судить по себе? У меня две операционные системмы, по которым я могу судить. Это, та, что у меня (которую я могу как угодно вертеть), и та, которая на 1gb.ru , к которой я никакого влияния не имею. И потом, есть определённо явная разница между Windows и Unix системами. Я вам про динамику настроек, вы мне какой-то бред... Я же утверждаю, что права 755 на сервере ненужны. Если конкретно, - права "Для всех остальных", то есть для тех, которых нет в системе. Это чисто теоретически - запуск процесса от имени несуществующего пользователя. Это нормально в Windows, но, это ненормально в среде Unix. Есть понятия, сложной пока для Вас динамики прав и запуск процессов. -> Сервер на площадке Unix может обойтись без прав "Для всех", потому что есть правило, по которому выполняются все процессы в этой среде. (никакая служба/программа - любой заупщеный процесс, от имени рядового пользователя, не может перехватить, или повлиять на Родительский процесс) И назначение прав "Для всех", это всего лишь дополнение, которое необходимо при работе только с личными документами (файлами). Эти права не влияют на работу сервера, а только создают потенцеальную опасность.
Любая служба/программа, - в данном случае сервер httpd, запущенный от пользователя root, смотрит в приоритете прав - 1 Владелец (имеет ли он право), потом - 2 Группа (назначенны ли этой группе права владельца и т.п...) А уж потом только - 3 "Все остальные" (разрешил ли Владелец для Всех других просматривать файл с паролями в обход зарегестрированных в системе для этих операций специальных служебных сценариев?) И только такой админ, как Вы, выставите такие права Для всех.
Михаил, в таком случае, поставил в начале файла функцию - die(); , что бы интропретатор PHP закрыл Для всех просмотр этого файла в обход сценария. И я, хочу заметить, что это ошибка. В этом случае лучше всего закрыть права "Для всех" традиционным способом.

Shurik2975 ссылку дайте. Не посмотреть, о чем речь, собственно.

Сообщение # 85 04.05.08 - 15:36:06

Rootman

R
гость


В Unix пользователи создаются от root и все настройки с доступом уже там есть. На хостере, домашние каталоги пользователей прописываются автоматически. Сам хостер - root, определяет все права и виртуальное пространство под хост. Это всё настройки, грубо говоря - настроенный хостинг-сервер.

Цитата

Ну я и говорю, поставить можно как угодно, другое дело, будет-ли это безопасно. Предлагаемый вами вариант не совсем безопасен, через nobody будет безопаснее.


И хто Вам сказал, что 1gb.ru бесплатный Хостер??? (бред)

Цитата

Я бы и на платном не стал давать юзерам возможности выполнять скрипты как вледелец. Жирно это и небезопасно. Выше писал почему.


Я вам про динамику настроек, вы мне какой-то бред... Я же утверждаю, что права 755 на сервере ненужны. Если конкретно, - права "Для всех остальных", то есть для тех, которых нет в системе.

Цитата

Опять по себе судите. В следющий раз когда будете утверждать что-либо подобное лучше сразу пишите "Я же утверждаю, что права 755 на сервере МНЕ ненужны.", а то опять получается что за всех говорите. Я вам показал что на известных бесплатных хостингах - нужны. И причины указал зачем нужны а вы мне все упорно про свой случай рассказываете, игнорируя все остальные. Если все так, как вы утверждаете, может обьясните зачем тогда вообще в Линуксе нужны права "Для всех остальных"? Убрать их как ненужную вещь и всего делов. Однако что-то никто не торопится это делать.


Это нормально в Windows, но, это ненормально в среде Unix.

Цитата

Да ладно вам про Виндовс, у нее тоже каждый процесс под своим именем работает, посмотрите в диспетчере задач.


Сервер на площадке Unix может обойтись без прав "Для всех", потому что есть правило, по которому выполняются все процессы в этой среде.

Цитата

Может, да только почему-то мало кто это использует. Наоброт, в любом дистрибутиве про файлы, которым требуются права на запись указываются атрибуты 666 и 777 для каталогов.
Да вот, к примеру, возьмем известный скрипт phpBB. Вы же не считаете его разработчиков глупцами? Однако читаем README:

Change the permissions on config.php to be writeable by all (666 or -rw-rw-rw- within your FTP Client)

И далее:

Change the permissions on config.php to be writeable only by yourself (644 or -rw-r--r-- within your FTP Client)

Обратите внимание, аттрибут "чтение для всех" по-прежднему стоит, никто не обирается его убирать.

Одного примера хватит, или надо еще?


Эти права не влияют на работу сервера, а только создают потенцеальную опасность.
Любая служба/программа, - в данном случае сервер httpd, запущенный от пользователя root, смотрит в приоритете прав - 1 Владелец (имеет ли он право), потом - 2 Группа (назначенны ли этой группе права владельца и т.п...)

Цитата

Сколько-же можно говорить одно и тоже. Не обслуживает httpd пользователей под рутом, а под тем владельцем/группой, что заданы в него в настройках в опциях User, Group
Вы наверное понять не можете, как это так, запускается сервак из под рута, а пользователей под другими правами обслуживает, так я вам обьясню.

Базовый процесс действительно запускается и работает под рутом, но когда происходит запрос, процесс выполняет вызов fork, создавая свой клон. Клон в свою очередь (он тоже еще под рутом) в соответствии с заданными опциями User, Group меняет свои права с администраторских на указаные и лишь затем начинает обрабатывать запросы и читать файлы. Причем этих клонов запускается несколько, их количество так же задается через конфиг, по умолчанию если не ошибаюсь их 5 штук.

Если-же вам совсем приспичило, могу привести кусок исходника на Си, где он этот fork делает.


Михаил, в таком случае, поставил в начале файла функцию - die(); , что бы интропретатор PHP закрыл Для всех просмотр этого файла в обход сценария. И я, хочу заметить, что это ошибка. В этом случае лучше всего закрыть права "Для всех" традиционным способом.

Цитата

Если закроете права "Для всех", многие сервера вообще не смогут прочесть файл. Михаил совершенно правильно сделал, поскольку в этом случае файл будет работать на всех серверах, независимо от того, какие у них настроены права доступа .

Сообщение # 86 05.05.08 - 06:14:25

Maksir

M
Участник форума


Ну я и говорю, поставить можно как угодно, другое дело, будет-ли это безопасно. Предлагаемый вами вариант не совсем безопасен, через nobody будет безопаснее.

Цитата

Предлогаемый мною вариант, безопасен уже с той точки зрения, что количество потенциальных "Владельцев" на файл сузился благодаря настройкам 640.
Сервер выполняет запросы со стороны любого пользователя. Сервер httpd сам выполняет сценарии от имени любой Группы и Владельца. "Все остальные" ему не нужны. Сервер настроен и запущен от пользователя root .

Я бы и на платном не стал давать юзерам возможности выполнять скрипты как вледелец. Жирно это и небезопасно. Выше писал почему.

Цитата
А вас никто не спрашивает.
Владелец волен делать что угодно в своём домашнем каталоге. Он не может своими правами повлиять на работу сервера.
Если бы у вас небыло бы этих прав, вы бы не смогли заходить на ftp со своим логином и паролем, по причине, что Вас нет в системме. Когда Вы регестрируетесь, то root заводит на вас учётную запись. Даёт Вам ключи - логин и пароль. Ваши права на сервере уже определены. В системме Unix, под вашим логином создаётся домашняя директория для сайта, куда все конфиги для вас уже прописаны. Никто ничего не копирует и не заморачивается. Системма сама создаёт каталог по-умолчанию, как только заводится новый пользователь.

Опять по себе судите. В следющий раз когда будете утверждать что-либо подобное лучше сразу пишите "Я же утверждаю, что права 755 на сервере МНЕ ненужны.",

Цитата

Я не говорю за всех, а говорю как есть. Если для Вас разницы в этих правах несуществует, то это Ваши проблемы и нечего ко мне приператься. Пишу, что думаю. А думаю я очень часто. И когда я пишу, то сверяюсь с книгой по Unix, потому что я не Штирлец, что бы всё помнить. Если где-то не прав, я говорю, - да, я тут бал лишку. (такое уже было) Я же вам даю ссылку на источники по Unix, потому что мне вам не продемонстровать книжку по основам. Вы же опять с этими основами ко мне лезите... Я Вам говорю, - google и параметр для поиска - chmod - Нефиг тут чушь нести. Надоели уже!

Да ладно вам про Виндовс, у нее тоже каждый процесс под своим именем работает, посмотрите в диспетчере задач.

Цитата

И вирусы в одной линейке работают с этими процессами...
Я Вам про динамические настройки в Unix, а Вы мне про вечную проблему Windows... Да если бы у Windows хотя бы что-то работало по такому принципу, никаких бы широких проблем с безопасностью не было бы.
Я смотрю, Вам про динамику настроек в Unix бесполезно объяснять. У вас же всё одним цветом мазанно, что Win, или Unix - безразницы... И админ вы такой же. Как дадите на всех и всё одни и те же права, так и работает всё через ж...

Может, да только почему-то мало кто это использует. Наоброт, в любом дистрибутиве про файлы, которым требуются права на запись указываются атрибуты 666 и 777 для каталогов.

Цитата

Вы говорили, что у Вас 10 лет стаж опыта работы в среде Unix. Я уже не сомневаюсь, что это просто трёп малолетнего. Вы мне скажите, - где в *nix системах Вы видели файлы с правами 777 ? Может, они нужны для Вашего навароченного сайта, а для такой скромненькой системмы, как Unix, они ненужны, по этому и не используются.
Да уж, наврное, для такой сложной динамики и сложных алгоритмов на Вашем сайте, без специальных прав 777 ну никак не обойтись! пипец! Unix отдыхает!

Сообщение # 87 05.05.08 - 14:45:38

Maksir

M
Участник форума


Сколько-же можно говорить одно и тоже. Не обслуживает httpd пользователей под рутом

Цитата
Где root? В слове "Владелец"? Ну... да... это нормально для админа с 10 летним стажем опыта в среде Unix...

Вы наверное понять не можете, как это так, запускается сервак из под рута, а пользователей под другими правами обслуживает, так я вам обьясню.
Базовый процесс действительно запускается и работает под рутом

Цитата

Значит Вы со мной согласны всё-таки хоть в чем-то.
Я же Вам писал, как я запускаю сервер из под root ... или вы меня не поняли?
А про родительские процессы?
Меня сейчас мало интересует, как там польлзователь работает. Важно что "Все остальные", для его помощи ненужны!

Если закроете права "Для всех", многие сервера вообще не смогут прочесть файл.

Цитата
Какие например? Те, которые неправильные сервера?
я же говорю - им не место в рунете вообще!
Если такому серверу нужны такие права, то кто угодно может написать или воспользоваться специальной программой, что бы взять данные из конкретного файла на этом сервере.
Права для "Все остальные", это всего лишь дополнение. Они ненужны. Сервер сам разберётся, что ему делать. Только сервер должен решать, - показывать файл, или нет. "Все остальные" здесь вообще ни при чем!
Права для "Все остальные" в какталоге вашего сервера нужно обязательно закрывать.
Пример: 777 => 770, 666 => 660
что бы не ломать голову, можно использовать одни и те же права для всех файлов 640. Это права определяют - 1) "6" - чтение и запись - для Владельца 2) "4" чтение - для Группы 3) "0" - права для всех закрыты. Это последний числитель, он существует для определения "Все кто неучтены в системме". Попросту - служит для обхода всех существующих правил для Владельцев и Групп, которые определены в системе. Эти "Все остальные", служат дополнением, но для них так же можно определить, что эти "Все, кто угодно", могут (4) читать, (2) записывать/модифицировать (1) выполнять/поиск. Вместе 4+2+1=7 И все эти правы для локальных служб Сервера, или системмы. Системма Unix определяет, какие файлы можно читать и кому. Cервер httpd действует по такому же принципу.

Сообщение # 88 05.05.08 - 14:46:09

Rootman

R
гость


Предлогаемый мною вариант, безопасен уже с той точки зрения, что количество потенциальных "Владельцев" на файл сузился благодаря настройкам 640.

Цитата

Если вы будете относить юзеров к той же группе, под который работает сервер (а вы как я понял это предлагали), то ваш вариант по сути мало чем будет отличаться от моего ведь группа-то у всех одна. Я понимаю что вы задались целью впринципе избавиться от аттрибута "для всех остальных", ну как говориться и флаг в руки, мне лично эта мозготрепка не нужна. И судя по FAQ - большинству хостеров тоже не нужна.


Сервер httpd сам выполняет сценарии от имени любой Группы и Владельца. "Все остальные" ему не нужны. Сервер настроен и запущен от пользователя root .

Цитата

На какую настроите, от такой и будет выполнять. Если специально не использовать режим suexec, но это дыра еще большая, чем ваш вариант.


Владелец волен делать что угодно в своём домашнем каталоге. Он не может своими правами повлиять на работу сервера.

Цитата

Еще как может, если сервер запущен с его-же именем и группой. Ведь как владелец он может управлять всем и программами, работющими под его именем.


Если бы у вас небыло бы этих прав, вы бы не смогли заходить на ftp со своим логином и паролем, по причине, что Вас нет в системме.

Цитата

Обясняю, как это положено делать.
1. Сервер работает под nobody:nobody
2. Создается новый юзер vasya:users, в качестве шелла ему ставится /dev/null (чтобы не было шелла). При создании юзера ему автоматом будет создан домашний каталог.
3. Права ставят 755. Тем самым никто кроме владельца ничего в этот каталог записать не сможет, только если владелец с%E

Сообщение # 89 06.05.08 - 06:31:44

Rootman

R
гость


Предлогаемый мною вариант, безопасен уже с той точки зрения, что количество потенциальных "Владельцев" на файл сузился благодаря настройкам 640.

Цитата

Если вы будете относить юзеров к той же группе, под который работает сервер (а вы как я понял это предлагали), то ваш вариант по сути мало чем будет отличаться от моего ведь группа-то у всех одна. Я понимаю что вы задались целью впринципе избавиться от аттрибута "для всех остальных", ну как говориться и флаг в руки, мне лично эта мозготрепка не нужна. И судя по FAQ - большинству хостеров тоже не нужна.


Сервер httpd сам выполняет сценарии от имени любой Группы и Владельца. "Все остальные" ему не нужны. Сервер настроен и запущен от пользователя root .

Цитата

На какую настроите, от такой и будет выполнять. Если специально не использовать режим suexec, но это дыра еще большая, чем ваш вариант.


Владелец волен делать что угодно в своём домашнем каталоге. Он не может своими правами повлиять на работу сервера.

Цитата

Еще как может, если сервер запущен с его-же именем и группой. Ведь как владелец он может управлять всем и программами, работющими под его именем.


Если бы у вас небыло бы этих прав, вы бы не смогли заходить на ftp со своим логином и паролем, по причине, что Вас нет в системме.

Цитата

Обясняю, как это положено делать.
1. Сервер работает под nobody:nobody
2. Создается новый юзер vasya:users, в качестве шелла ему ставится /dev/null (чтобы не было шелла). При создании юзера ему автоматом будет создан домашний каталог.
3. Права ставят 755. Тем самым никто кроме владельца ничего в этот каталог записать не сможет, только если владелец сам не даст доступа на запись. Сервер тоже не сможет, поскольку у него владелец и группа другие. Соот. запись данных скриптам дается только через "все остальные". Любая другая установка аттрибутов исключает доступ на запись для скриптов на сервере, и если сайт будет взломан - злоумышленник может получить доступ на запись только к файлам с аттрибутами "запись для всех остальных", никаких других файлов он изменить/удалить не сможет. А в предлагаемом вами варианте он сможет делать с файлами все что угодно.


Я не говорю за всех, а говорю как есть. Если для Вас разницы в этих правах несуществует, то это Ваши проблемы и нечего ко мне приператься.

Цитата

Да нет, только за себя говорите. За всех я вам сказал, приведя FAQ.


Да если бы у Windows хотя бы что-то работало по такому принципу, никаких бы широких проблем с безопасностью не было бы.

Цитата

Речь не о безопасности а о правах доступа. Уж не хотите-ли вы сказать что в Линуксе нет никаких проблем с безопасностью? На самом деле Линукс весьма просто поломать. При загрузке системы, когда появится окно загрузчика Lilo, можно указать файл, загружаемый вместо init, например /bin/bash и результат - вы попадете в консоль с правами админа. Вот и весь "взлом".


Вы мне скажите, - где в *nix системах Вы видели файлы с правами 777 ? Может, они нужны для Вашего навароченного сайта, а для такой скромненькой системмы, как Unix, они ненужны, по этому и не используются.

Цитата

Где говорите видел? Например:
1. В каталоге /tmp
2. Каталоге /var/tmp

А как иначе, ведь там временные файлы хранятся, поэтому запись должна быть разрешена для всех без исключения.


Меня сейчас мало интересует, как там польлзователь работает. Важно что "Все остальные", для его помощи ненужны!

Цитата

Вот поэтому и понять меня не можете, поскольку не интересуют вас эти вопросы. Иначе поняли-бы наконец о чем речь.


Какие например? Те, которые неправильные сервера?
я же говорю - им не место в рунете вообще!

Цитата

Ну да, в рунете место хостерам, позволяющих с помоью дырок в скрипте менять и уничтожать нафиг все существующие файле на сайте, а не только доступные для записи. Жжете однако.


Если такому серверу нужны такие права, то кто угодно может написать или воспользоваться специальной программой, что бы взять данные из конкретного файла на этом сервере.

Цитата

В вашем случае тем более будет тоже самое, хоть вы права 400 поставьте, ведь сервер-то у вас работает в правами того же владельца что и загруженный на него файл.


Права для "Все остальные", это всего лишь дополнение. Они ненужны.

Цитата

Если не нужны, почему же они тогда все еще существуют в Линукс и Юникс?

Сообщение # 90 06.05.08 - 06:31:46

Maksir

M
Участник форума


Если вы будете относить юзеров к той же группе, под который работает сервер (а вы как я понял это предлагали), то ваш вариант по сути мало чем будет отличаться от моего ведь группа-то у всех одна

Цитата

Нет. я извинился сразу (невнимательно прокоментировал). Но, всё равно, эти права работают, но только на локальном - личном сервере. Это касается вопроса только о том, что происходит с правами. На удалённом сервере, у Хостера, я не могу менять ни Владельца ни Группу, и это естественно в любой среде *nix.

Здесь не важно, как там работает Владелец и Группа. Мы видим, что в Win и *nix системмах, это происходит неодинаково, это первое.


Второе, "Все остальные", для работы сервера ненужны по определению, - потому что сам Сервер выполняет все функции и предоставляет доступ - но только это должно быть строго по сценарию, который мы пишим на PHP и определяем по свойствам системмы. "Все остальные" в этом спектакле - лишние. Владелец и Группа, они как бы - за кулисами всё решают с Сервером. А снаружи - народ. По этому, Сервер предоставляет доступ строго по сценарию.
И ещё, чтобы "не зраываться" - я имею ввиду только файлы, а не каталоги. Речь идёт только о файлах предназначеных для хранения секретной информации, которые должны передоваться строго по сценарию написанному на PHP.

3. Права ставят 755. Тем самым никто кроме владельца ничего в этот каталог записать не сможет, только если владелец сам не даст доступа на запись. Сервер тоже не сможет, поскольку у него владелец и группа другие.

Цитата

Сервер запускается от root. А вы, обычный пользователь со своим каталогом для работы вашей странички на этом сервере, но вы не можете влиять на работу сервера.

злоумышленник может получить доступ на запись только к файлам с аттрибутами "запись для всех остальных", никаких других файлов он изменить/удалить не сможет. А в предлагаемом вами варианте он сможет делать с файлами все что угодно

Цитата

Это как?
Если в вашем варианте, злодей может прочитать файлы только те, которые определены для "Всех остальных". В моём варианте таких файлов и в помине нету, потому что я предлогаю их закрыть. Это как же так получается???

Линукс весьма просто поломать. При загрузке системы, когда появится окно загрузчика Lilo, можно указать файл, загружаемый вместо init, например /bin/bash и результат - вы попадете в консоль с правами админа. Вот и весь "взлом".

Цитата

Можно и не указывать. И это не взлом вовсе. Можно просто загрузиться с RIPLinux, с любой системмы загружаемой с диска, можно также и просто переподключить винчестеры на другом компьютере.
Я вам говорю, что в среде *nix нет вирусов, потому что так определена динамика прав и взаимодействия процессов. Были попытки написать вирусы, были проведены и удачные эксперименты, но, это единичные случаи, которые - были и уже вошли в историю.
И никто не отменял действовать против *nix системм. Если корпорации Microsoft выгодно показать некомпитентность других, и прорекламировать свои наработки, то они стараются из-зо всех сил. И вирус написать для этой цели, это тоже - оружее в руках конкурентов.
Так что, вирусами для любых системм будут заниматься все и всегда. Чем выше технологии, тем больше поле для сражения на этом рынке.
Но, только, в Unix/Linux/Mac нет таких проблем с безопасностью и никогда не будет, потому что работает слаженный механизм, проверенный временем.
Например: В космических программах используют именно Debian (а не Windows XP) понятно почему, да?

Если не нужны, почему же они тогда все еще существуют в Линукс и Юникс

Цитата

Права "Все остальные", они нужны для локальной работы с файлами, по этому и существуют в системме. Например, есть служебные программы. Так же, программы запускаемые через эмулятор Windows, которым нужны отдельные права выставлять. Это Операционная системма, разные ситуации могут быть. Но, Операционная системма, это не Сервер, это к вашему сведению разные вещи. Linux не предоставляет доступ сам по себе. Для этих целей служат специальные программы с их протоколами, которые и установить, и отконфигурировать нужно вручную, и запустить. И все эти действия от имени лишь одного пользователя - root. А Windows использует всё сразу, как только попадает в сеть, или видит новую папку, или диск. Флэшку вставил и привет... пошёл нюхать что там лежит. И права там, Владельцы и Группы - не имеют никакого значения. Если там вирус, то он обязательно пропишит сам себя куда-нибудь поближе к кухне, и запускать будет сам себя от имени Билла Гейтца.

Сообщение # 91 06.05.08 - 15:39:48

Rootman

R
гость


Второе, "Все остальные", для работы сервера ненужны по определению, - потому что сам Сервер выполняет все функции и предоставляет доступ - но только это должно быть строго по сценарию, который мы пишим на PHP и определяем по свойствам системмы.

Цитата

Обьясните это хостерам, которые требуют установки подобных прав. Еще раз спрашиваю, считаете себя умнее всех админов? Это при том, что я вам тысячу раз обьяснял зачем нужны такие права.


Сервер запускается от root. А вы, обычный пользователь со своим каталогом для работы вашей странички на этом сервере, но вы не можете влиять на работу сервера.

Цитата

От root он только запускается, а работает он с совсем другими правами. Теми, которые вы ему в конфиге пропишите. И если эти права совпадают с теми, под которыми работает скрипт я соотвественно как владелец могу управлять процессами сервера.


Если в вашем варианте, злодей может прочитать файлы только те, которые определены для "Всех остальных". В моём варианте таких файлов и в помине нету, потому что я предлогаю их закрыть. Это как же так получается???

Цитата

В вашем варианте злодей как владелец может не только прочитать любой файл, но и сделать с ним все что угодно. Ведь скрипты-то у вас работают с правами владельца.


Можно и не указывать. И это не взлом вовсе. Можно просто загрузиться с RIPLinux, с любой системмы загружаемой с диска, можно также и просто переподключить винчестеры на другом компьютере.

Цитата

Ну ничего себе не взлом, вход в систему с правами админа без ввода пароля. Как раз взлом, если я могу спокойненько подойти к серверу, перезагрузить его и сразу получить админские права.


Но, только, в Unix/Linux/Mac нет таких проблем с безопасностью и никогда не будет, потому что работает слаженный механизм, проверенный временем.
Например: В космических программах используют именно Debian (а не Windows XP) понятно почему, да?

Цитата

Конечно понятно. Потому что американцам делать больше нечего. В таких вещах как космос используют строго специализированные встроенные системы типа QNX, но уж никак не Линукс. Да и откуда вы эти сведения вообще взяли? Меньше верите всякого рода пропаганде.


Права "Все остальные", они нужны для локальной работы с файлами, по этому и существуют в системме. Например, есть служебные программы. Так же, программы запускаемые через эмулятор Windows, которым нужны отдельные права выставлять. Это Операционная системма, разные ситуации могут быть.

Цитата

Ну вот пожалуйста httpd это тоже своего рода служебная программа, какие проблемы-то? Вот хостеры и указывают, какие права необходимы для нормальной работы сайта. 755 и 666


Linux не предоставляет доступ сам по себе. Для этих целей служат специальные программы с их протоколами, которые и установить, и отконфигурировать нужно вручную, и запустить.

Цитата

Доступ к файлам и к сети в Линуксе предоставляется на уровне ядра а не программ. Собственно сетевые протоколы они как раз и зашиты в ядро. За исключением разве что протокола SMB, впрочем для его работы тоже необходим несущий TCP/IP-протокол ядра.


А Windows использует всё сразу, как только попадает в сеть, или видит новую папку, или диск. Флэшку вставил и привет... пошёл нюхать что там лежит.

Цитата

О как. А про automount в Линуксе вы когда-нибудь слышали? Я понимаю что в вашем ArchLinux его может быть еще и нет, но в большинстве современных дистрибутивов он имеется.


И права там, Владельцы и Группы - не имеют никакого значения. Если там вирус, то он обязательно пропишит сам себя куда-нибудь поближе к кухне, и запускать будет сам себя от имени Билла Гейтца.

Цитата

Эта проблема связана не с владельцами и группами а с уязвимостью непосредственно программного обеспечения. Раз уж вы решили сравнивать безопасность систем, то и сравнивайте соответственно только системную часть. Ядро Винды и ядро Линукса к примеру, а то дырявого софта и под Линуксом можно откопать немало.

Сообщение # 92 12.05.08 - 06:22:40

Maksir

M
Участник форума


Еще раз спрашиваю, считаете себя умнее всех админов?

Цитата

Вы не спрашивали не разу. Это у вас нервное...
Спокойнее, rootman, я не считаю себя умнее всех. Именно по этому, у меня в руках книга на всякий случай. Но, если бы вы сами умели думать и размышлять, то наверняка бы поняли о чем я говорю. И в некотором подтексте внесли бы свою поправку. А так, как этого не произошло, и я вижу где я сам допустил ошибку, то это значит, что я умнее вас. (а может упрямее чем вы) Но, я вам объясню почему. Вы помните что я вам показывал эксперементально наглядный пример с правами 644 и 640 ? Так вот, здесь действует правило "динамический" и "статический" элимент/файл. Если мы берём файл через интропритатор PHP, то права на файл "Все остальные", они действительно ненужны. Но, если файл "статический", такой как index.html , то в этом случае обязательно нужны права для "Всех остальных". Увы, так устроен apache, что не является опасным с правами 644

Вот по этому, в многозначительных справках, вам рекомендуют права типа 755 и 644. Но, что неприемлемо для динамически-меняющихся файлов.

я не считаю себя умнее других. Но, Вы мне не оставляете выбора, поскольку, не разу не привели ни одного убедительного и рассудительного ответа. Кто должен за вас думать, если вы админ? Справочный материал, который пишут такие же люди, как вы?

Вы не разу не предоставили мне никаких серъёзных причин, кроме тех, что у вас - авторы phpBB - это авторитет и их решения для вас - аксиома.... Почему я должен думать так, а не иначе?
По этому я вам и говорю, что вы - пустомеля! Вы говорите бред... Это значит, что в ваших словах нет никакой смысловой значимости.

я, не предусмотрел разницу динамически меняющихся сценариев и простых, обычных статических файлов html. Вы, утверждаете, что права "Для всех" нужны, но выходит, что - сами не знаете, или "не сечёте", - почему они нужны... ссылаетесь на FAQ хостеров. Вы, как админ, должны думать за всех, а не читать всякую дребедень.

Сообщение # 93 12.05.08 - 13:57:11

Maksir

M
Участник форума


О как. А про automount в Линуксе вы когда-нибудь слышали? Я понимаю что в вашем ArchLinux его может быть еще и нет, но в большинстве современных дистрибутивов он имеется.

Цитата
И что дальше? Может, ещё и автозапуск файлов там есть?
Динамика прав в Linux работает таким образом, что простой пользователь не может влиять на процессы. Только root может.
В Linux можно всё собрать вручную, без установки ненужного мусора вместе с программным кодом. Здесь существенная разница, как и у автогонщиков, - автамтическая коробка передачь, или ручная?

В таких вещах как космос используют строго специализированные встроенные системы типа QNX, но уж никак не Линукс. Да и откуда вы эти сведения вообще взяли?

Цитата
Книжки читаю. Первым в космос полетел Debian. Потом, может и появился специализированное программное обеспечение. Что, вполне вероятно.

Эта проблема связана не с владельцами и группами а с уязвимостью непосредственно программного обеспечения. Раз уж вы решили сравнивать безопасность систем, то и сравнивайте соответственно только системную часть. Ядро Винды и ядро Линукса к примеру, а то дырявого софта и под Линуксом можно откопать немало.

Цитата
Вопервых, речь идёт о httpd модуль apache. Этот Сервер написан специально для *nix систем и работает он по принципу Unix-подобным. Очень надёжный сервер. Его принципы конфигурирования известны и полноценно работать он может только в своей родной среде. В Windows, это всего лишь интропритатор. Переделать его почти невозможно (это не предусмотренно вообще никак).

Со стороны систем, говоря о ядрах операционных систем, Вы шагнули дальше всех, как я погляжу. Вы, наверное, каждый день перекомпилируете сервера на Windows таким образом, что бы злодеи не смогли бы их захватить. Если это так, может покажите нам конфиг Windows? Ядро Linux состоит из поддержки модулей, в основном, это поддержка железа, а не сети. Ядро, в котором можно исключить ненужное и оставить нужное проверенное временем, надёжное. Эти модули не предоставляют доступ через сеть, они просто помогают. Процесс "из вне", не может доменировать над процессами в системе Unix/Linux. Если что-то происходит не так, то этот процесс можно пресечь и исключить. Можно пересобрать и переписать код, перекомпелировать полностью систему. В Windows, вы этого сделать не сможете. Вы будете юзать только то, что вам подсовывают.

Сообщение # 94 12.05.08 - 16:09:21

Rootman

R
гость


Так вот, здесь действует правило "динамический" и "статический" элимент/файл. Если мы берём файл через интропритатор PHP, то права на файл "Все остальные", они действительно ненужны. Но, если файл "статический", такой как index.html , то в этом случае обязательно нужны права для "Всех остальных". Увы, так устроен apache, что не является опасным с правами 644

Цитата

Увы, так не просто устроен Apache, просто он скомпилирован на хосте с поддержкой функции suexec, позволяющей запускать скрипты от имени другого пользователя, а не того, который прописан в настройках по умолчанию. Однако это очень небезопасная штуковина, потому что один неверный шаг в настройках и скрипт у вас может запуститься под рутом. Использовать эту функцию лучше только в крайнем случае, когда действительно зачем-то необходимо запускать скрпиты от другого пользователя. В остальных случаях ее лучше отключать.


Вот по этому, в многозначительных справках, вам рекомендуют права типа 755 и 644. Но, что неприемлемо для динамически-меняющихся файлов.

Цитата

Вот поэтому в справках и рекомендуют права с записью и чтением для всех остальных, поскольку хостеры понимают, что нельзя давать всем подряд suexec, они справедливо отлючают эту функцию, в результате все скрипты запускаются от nobody и для записи в файлы приходится ставить права "Для всех остальных".


Но, Вы мне не оставляете выбора, поскольку, не разу не привели ни одного убедительного и рассудительного ответа. Кто должен за вас думать, если вы админ? Справочный материал, который пишут такие же люди, как вы?

Цитата

Вот и прочитайте где-нибудь в справочном материале про suexec. Везде будет написано, что использовать эту штуку надо с большой осторожностью. Чтобы далеко не ходить, прямо из документации к Apache (manual/suexec.html)

Second, it is assumed you are familiar with some basic concepts of your computer's security and its administration. This involves an understanding of setuid/setgid operations and the various effects they may have on your system and its level of security.

В переводе это означает то что я писал выше. Можете сами перевести, если не верите.


Вы не разу не предоставили мне никаких серъёзных причин, кроме тех, что у вас - авторы phpBB - это авторитет и их решения для вас - аксиома.... Почему я должен думать так, а не иначе?

Цитата

А почему собственно авторов phpBB нельзя считать авторитетными? Это серьезный коллектив разработчиков, который много лет разрабатывает и поддерживает один из самых популярных форумных движков в Интернете. Они заслужили авторитет. Впрочем, если вас не устраивает авторитет команды phpBB, как насчет авторитетности разработчиков самого Apache и того текста из манула, что я привел чуть выше?


я, не предусмотрел разницу динамически меняющихся сценариев и простых, обычных статических файлов html. Вы, утверждаете, что права "Для всех" нужны, но выходит, что - сами не знаете, или "не сечёте", - почему они нужны... ссылаетесь на FAQ хостеров.

Цитата

Да нет, я делеко не один раз обьяснял, зачем они нужны. Без них на многих хостах вы не сможете ни считать файл, ни что-нибудь в него записать. И я говорил вам это неоднократно.


И что дальше? Может, ещё и автозапуск файлов там есть?

Цитата

Разумеется, например KDE это умеет, автоматом монтировать компакт-диски и открывать автоматом их содержимое в Konqueror, а если это настроить, то вместо Konqueror-а можно выполнить wine autorun.exe и вперед. Ну если у вас разумеется установлен Wine


Динамика прав в Linux работает таким образом, что простой пользователь не может влиять на процессы. Только root может.

Цитата

Простой пользователь может как влделец влять на те процессы, которые запущены от его имени. Так если вы запустите Apache из консоли, зайдя в нее под именем user, вы спокойно сможете с помошью kill убить его процесс.

Сообщение # 95 13.05.08 - 10:03:18

Rootman

R
гость


Книжки читаю. Первым в космос полетел Debian. Потом, может и появился специализированное программное обеспечение. Что, вполне вероятно.

Цитата

Да вы не утверждайте, вы факты приведите, из какого источника вы это взяли. Если из источника, посвященного Линуксу, тогда его нельзя считать непредвзятым.


Вопервых, речь идёт о httpd модуль apache. Этот Сервер написан специально для *nix систем и работает он по принципу Unix-подобным. Очень надёжный сервер. Его принципы конфигурирования известны и полноценно работать он может только в своей родной среде. В Windows, это всего лишь интропритатор. Переделать его почти невозможно (это не предусмотренно вообще никак).

Цитата

Какой интерпретатор, откуда вы это выкопали. В Винде это точно такой-же бинарный EXE-файл, как и все остальные файлы в этой системе. Тем более что Си, на котором написан этот сервер, язык универсальный и кросплатформенный. В Винде у httpd просто есть несколько ограничений на функции, которые там не работают, только и всего.


Со стороны систем, говоря о ядрах операционных систем, Вы шагнули дальше всех, как я погляжу. Вы, наверное, каждый день перекомпилируете сервера на Windows таким образом, что бы злодеи не смогли бы их захватить. Если это так, может покажите нам конфиг Windows?

Цитата

Речь была не о компиляции ядер, а об их безопасности. Если вы сравниваете безопасность систем, то и делайте именно это, а не сравнивайте безопасность софта, который по системой работает.


Ядро Linux состоит из поддержки модулей, в основном, это поддержка железа, а не сети.

Цитата

Как-же. В раздел конфигурации сети в ядре загляните, там кроме поддержки железа очень много чего для поддержки имено сети, и тунелирование, и расширенная маршрутизация и НАТ и поддержка протоколов. Очень много чего.


Процесс "из вне", не может доменировать над процессами в системе Unix/Linux.

Цитата

Если дыра в процессе, который работает по рутом - еще как может. И таких случаев на сайтах по безопасности можно при желании отыскать не мало.


Можно пересобрать и переписать код, перекомпелировать полностью систему. В Windows, вы этого сделать не сможете. Вы будете юзать только то, что вам подсовывают.

Цитата

А для админа это почти без разницы, большинство из них не настолько крутые программисты, чтобы самостоятельно переписывать что-то в ядре системы. В любом случае они используют то готовое, что им дают.

Сообщение # 96 13.05.08 - 10:03:31
"Репутация" :Предыдущая темаСледующая тема: Не заходит в админ панель. Что делать?
Страницы:  1 ... 6  7  8  9  10  ... 29

Сообщение
Имя E-mail
Сообщение

Нажмите на точку возле имени для обращения к участнику

Смайлы:

Ещё смайлы
Эмодзи
         
Защитный код: (введите цифры, которые на синем фоне)
   
WR-Счётчик
Powered by WR-Forum Professional © 2.2.2