Per curiosità, come avete impostato i permessi di user/apache?

**Iguana** · 16-06-2007, 15:53

Vorrei che il mio server fosse sicuro, ma allo stesso tempo funzionale.

Sono due giorni che combatto con gruppi e permessi per risolvere un problema..

Vado al sodo

In questo momento ogni utente ha il proprio user:group personale.

Faccio un esempio pratico
eldoc:eldoc
tizio:tizio

Apache gira come apache:apache

In ogni <Virtualhost> di Apache DirectAdmin inserisce
(Virtual host di ElDoc con i suoi siti)
User eldoc
group eldoc

(Virtual host di tizio con i suoi siti)
User tizio
group tizio

In TEORIA ogni volta che richiamo per es. un sito di eldoc dovrebbe partire apache come eldoc:eldoc , avendo libero e pieno accesso a tutti i file impostati come 7--. poichè nel vhost è così.

In pratica no

Il problema che riscontro è che Apache (giustamente) non ha i permessi di scrittura sulle relative cartelle degli utenti.. e rispecchia i permessi di OTHER (quindi di chiunque volesse..)

Non voglio usare il chmod 777 sulle varie directory, perchè sarebbe un pò come lasciare libero accesso a chiunque..

Avevo pensato ad impostare gli utenti come group apache, e quindi impostando i permessi di GROUP ad rwx sulle relative directory.

Ma il problema cambia di poco, prima era chiunque a poter leggere/scrivere/eseguire qualsiasi cosa li dentro, adesso sarebbero soltanto gli utenti a poterlo fare.. vale a dire, eldoc potrebbe andare a modificare i file di tizio in quanto ne ha i permessi e viceversa.

Or dunque come fare?
Avete impostato delle direttive particolari per permettere ad Apache di poter scrivere sulle dir dei relativi utenti, limitando pericoli di sicurezza cross-user?

Ancora ho qualche sito sparso per varie compagnie di hosting.. e (dato che la sicurezza è un optional a volte) sono riuscito ad avere un 'pezzo' di ls -l
con un bel echo exec("ls -l");

drwxr-xr-x 2 133 users 4096 Oct 19 2004 dir1 (mio utente su aruba)
drwxr-xr-x 5 4219 users 4096 May 22 23:30 dir2 (utente di mio fratello su aruba)

Per ovvie questioni di sicurezza mia, ho modificato l'user.. ma tanto il risultato non cambia

Questo hoster, per esempio, mette tutti gli utenti sotto il gruppo users.
E anche se i permessi del gruppo sono messi su rx (quindi non permette la scrittura ad apache), Apache riesce a scrivere ugualmente senza problemi.. ammesso che apache giri con group users

Suppongo che se facessi uno script a modo, potrei fare qualche scherzo a qualche altro utente poichè a quanto pare utilizzando apache riesco ad avere i permessi necessari per modificare le cartelle di altre persone..

Qualcuno di voi ha la benche minima idea di come risolvere tale problema? ^_^

**niko** · 16-06-2007, 20:25

Originariamente Scritto da Iguana

[...]
Apache gira come apache:apache

In ogni <Virtualhost> di Apache DirectAdmin inserisce
(Virtual host di ElDoc con i suoi siti)
User eldoc
group eldoc

(Virtual host di tizio con i suoi siti)
User tizio
group tizio

Le direttive User e Group indicano UID e GID con cui lanciare i CGI, nel caso che suexec fosse attivo.

Quindi, dovresti lanciare PHP come CGI, rendendo gli script eseguibili (chmod +x) e mettendo #!/path/to/php all'inizio del file, o applicare un 'hack' apposito al wrapper.

Probabilmente, nella tua configurazione, il supporto PHP è presente come modulo (mod_php) e quindi viene eseguito con l'utente e il gruppo che fanno girare il thread di Apache (mi pare che in beta ci sia la possibilità di far girare *TUTTO* un vhost con utente e gruppo specifici, non ho mai provato).

La soluzione più facile è installare suPHP al posto di PHP, in modo tale che senza nessuna modifica alla configurazione i file PHP vengano eseguiti con UID/GID pari al proprietario e al gruppo del file (con alcune eccezioni come root ad esempio).

Ancora ho qualche sito sparso per varie compagnie di hosting.. e (dato che la sicurezza è un optional a volte) sono riuscito ad avere un 'pezzo' di ls -l
con un bel echo exec("ls -l");

drwxr-xr-x 2 133 users 4096 Oct 19 2004 dir1 (mio utente su aruba)
drwxr-xr-x 5 4219 users 4096 May 22 23:30 dir2 (utente di mio fratello su aruba)

Se vedi solo i tuoi file e le tue cartelle, a mio modo di vedere, non c'è niente di male.

Avrebbe senso disattivare exec/system/passthru e permettere i CGI con cui potresti fare la stessa cosa?

A questo punto con una buona politica sui permessi applicati alle directory (home, logs, document root) e un adeguato accounting e limitazioni (ulimit, chroot...) è sicuramente molto più sicuro che con mod_php e le cartelle degli utenti world writable per necessità.

Ciao

P.S.: Ho spostato il tuo thread nella sezione corretta, lasciando un redirect temporaneo sulla vecchia sezione.

**Rebel** · 16-06-2007, 20:42

Originariamente Scritto da Iguana

Vorrei che il mio server fosse sicuro, ma allo stesso tempo funzionale.

Sono due giorni che combatto con gruppi e permessi per risolvere un problema..

Vado al sodo

In questo momento ogni utente ha il proprio user:group personale.

Faccio un esempio pratico
eldoc:eldoc
tizio:tizio

Apache gira come apache:apache

In ogni <Virtualhost> di Apache DirectAdmin inserisce
(Virtual host di ElDoc con i suoi siti)
User eldoc
group eldoc

(Virtual host di tizio con i suoi siti)
User tizio
group tizio

In TEORIA ogni volta che richiamo per es. un sito di eldoc dovrebbe partire apache come eldoc:eldoc , avendo libero e pieno accesso a tutti i file impostati come 7--. poichè nel vhost è così.

In pratica no

Il problema che riscontro è che Apache (giustamente) non ha i permessi di scrittura sulle relative cartelle degli utenti.. e rispecchia i permessi di OTHER (quindi di chiunque volesse..)

Non voglio usare il chmod 777 sulle varie directory, perchè sarebbe un pò come lasciare libero accesso a chiunque..

Avevo pensato ad impostare gli utenti come group apache, e quindi impostando i permessi di GROUP ad rwx sulle relative directory.

Ma il problema cambia di poco, prima era chiunque a poter leggere/scrivere/eseguire qualsiasi cosa li dentro, adesso sarebbero soltanto gli utenti a poterlo fare.. vale a dire, eldoc potrebbe andare a modificare i file di tizio in quanto ne ha i permessi e viceversa.

Or dunque come fare?
Avete impostato delle direttive particolari per permettere ad Apache di poter scrivere sulle dir dei relativi utenti, limitando pericoli di sicurezza cross-user?

Ancora ho qualche sito sparso per varie compagnie di hosting.. e (dato che la sicurezza è un optional a volte) sono riuscito ad avere un 'pezzo' di ls -l
con un bel echo exec("ls -l");

drwxr-xr-x 2 133 users 4096 Oct 19 2004 dir1 (mio utente su aruba)
drwxr-xr-x 5 4219 users 4096 May 22 23:30 dir2 (utente di mio fratello su aruba)

Per ovvie questioni di sicurezza mia, ho modificato l'user.. ma tanto il risultato non cambia

Questo hoster, per esempio, mette tutti gli utenti sotto il gruppo users.
E anche se i permessi del gruppo sono messi su rx (quindi non permette la scrittura ad apache), Apache riesce a scrivere ugualmente senza problemi.. ammesso che apache giri con group users

Suppongo che se facessi uno script a modo, potrei fare qualche scherzo a qualche altro utente poichè a quanto pare utilizzando apache riesco ad avere i permessi necessari per modificare le cartelle di altre persone..

Qualcuno di voi ha la benche minima idea di come risolvere tale problema? ^_^

leggiti sul manuale di php quello che dice al riguardo del safe_mode ed in particolare di open_basedir.

open_basedir string Limit the files that can be opened by PHP to the specified directory-tree, including the file itself. This directive is NOT affected by whether Safe Mode is turned On or Off.
When a script tries to open a file with, for example, fopen() or gzopen(), the location of the file is checked. When the file is outside the specified directory-tree, PHP will refuse to open it. All symbolic links are resolved, so it's not possible to avoid this restriction with a symlink.
The special value . indicates that the working directory of the script will be used as the base-directory. This is, however, a little dangerous as the working directory of the script can easily be changed with chdir().
In httpd.conf, open_basedir can be turned off (e.g. for some virtual hosts) the same way as any other configuration directive with "php_admin_value open_basedir none".
Under Windows, separate the directories with a semicolon. On all other systems, separate the directories with a colon. As an Apache module, open_basedir paths from parent directories are now automatically inherited.
The restriction specified with open_basedir is actually a prefix, not a directory name. This means that "open_basedir = /dir/incl" also allows access to "/dir/include" and "/dir/incls" if they exist. When you want to restrict access to only the specified directory, end with a slash. For example: "open_basedir = /dir/incl/"

Note: Support for multiple directories was added in 3.0.7.

The default is to allow all files to be opened.

**Iguana** · 17-06-2007, 02:09

Cambia poco con safe_mode e open_basedir :\

Ho messo tutto ad OFF, ma il risultato non cambia.. :\

Ho provato anche le varie combinazioni.. ma non va ugualmente

Safe mode ON - Open Basedir ON
Safe mode ON - Open Basedir OFF
Safe mode OFF - Open Basedir ON
Safe mode OFF - Open Basedir OFF

Il risultato non cambia..

A questo punto non mi restano tante soluzioni
o uso suPHP (ma suppongo dovrebbe risentirne in prestazioni)
o faccio una politica assurda di permessi

Che consigliate?

**GrG** · 17-06-2007, 11:52

mi pare che in beta ci sia la possibilità di far girare *TUTTO* un vhost con utente e gruppo specifici, non ho mai provato

appunto, mi risulta si faccia come ha fatto iguana... con apache2

x iguana

No, suphp non rallenta asslutamente...

**Rebel** · 17-06-2007, 13:09

Originariamente Scritto da Iguana

Cambia poco con safe_mode e open_basedir :\

Ho messo tutto ad OFF, ma il risultato non cambia.. :\

Ho provato anche le varie combinazioni.. ma non va ugualmente

Safe mode ON - Open Basedir ON
Safe mode ON - Open Basedir OFF
Safe mode OFF - Open Basedir ON
Safe mode OFF - Open Basedir OFF

Il risultato non cambia..

A questo punto non mi restano tante soluzioni
o uso suPHP (ma suppongo dovrebbe risentirne in prestazioni)
o faccio una politica assurda di permessi

Che consigliate?

guarda che se setti la directory di lavoro tramite open_basedir non puoi andare a leggere scrivere in altre dir.
e lo fai per vhost, quindi non ci son mazzi che tengano. controlla di aver messo il giusto path (non devi mettere "on" ma il path della dir di lavoro).

**niko** · 17-06-2007, 18:33

Originariamente Scritto da grg

appunto, mi risulta si faccia come ha fatto iguana... con apache2

No, guarda qui. User/Group sono per suexec.

x iguana

No, suphp non rallenta asslutamente...

Lancia in ogni caso un processo a parte (CGI) per ogni file interpretato; magari non è così evidente il rallentamento ma non è sicuramente meglio di mod_php.

**diablo666** · 17-07-2007, 22:53

Prova a vedere se può darti una mano questo link

http://www.temporini.net/archives/36

c'è scritto come configurare correttamente suphp + o - magari ti torna utile.

saluti