Brugerrettigheder til apache

Jeg ved nu ikke om jeg vil kalde den en fejl.. Især ikke, når jeg ikke ved, hvilke filer, du ikke kan få lov til at slette og sådan noget... Vær lidt mere specifik.

Vedr. FTP så kig på denne:
http://www.linuxplanet.dk/article/articleview/74/1/3/

Jeg har mit documentroot /var/www/html/.....
Deri kan jeg kun uploade nogle filer... måske det har noget med ftpen at gøre???? det er ikke på selve maskinen jeg ikke kan.... men kan bare ikke uploade... Eller læse nogle filer..... det er somom jeg har sat chmod/chown forkert.....

det er et helt bibliotek jeg skal give adgang med....

Jeg vil stærkt fra råde at du giver apache brugeren eller nobody som den hedder på nogle distributioner, skrive rettigheder !

Men hvis det kun er til intern brug er det:
chown -R apache:apache /var/www/html
og
chmod -R 750 /var/www/html

Vær sikker på det er det du vil

nobody:nogroup på nogle distributioner ;)

Nope den er udgående oxo... :P

hvad så med ftpserveren.....

Jeg bruger Virtual FTPd

Det er vel rent sikkerhetsmessig ikke det optimale, men hvis du kjoerer
komando "chmod 777 <filnavn>" for de filer directory det gjelder, saa kjoerer det. Event sa kan du forsoeke chmod 755 <filnavn> ogsaa.
Aa sette eierskap og chmod slik som herlock foreslaaar er en sikkrere og mere korrekt loesning men det kan vaere litt vanskeligere aa faa det til aa kjoere paa en slik "korrekt maate". Man kan i hvert fall bruke 777 midlertidig under uttesting / installasjon. Det forenkler.

Der ville jeg pege default dir ned i /var/www/html i stedet for eksempelvis /home/ftp

Indsætte de ip adresser jeg havde behov at tilgå med i hosts.allow som i min artikel.

hhmmmm ja men jeg ville gerne have at jeg kunne uploade til serveren også..... jeg har en ftp.. og den virker... ind i /var/www/html bibliotektet..... men jeg kan ikke uploade....

undskyld men ALDRIG ALDRIG ALDRIG 777 ! det sidste 7 tal giver world-writeable files = alle kan alt !

evt. chown ftpuser:apache
chmod 750
=
ftpuseren kan manipulere i folderne, apache får adgangen på gruppe-niveau og alle andre må intet

gider i evt chackke det?? i kan ssh min maskine....

ehint.yaboo.dk  <-- Læg mærke til at det er et B og ikke et H
user exp
pass exp
brugeren vil blive lukket senere idag....

Den bruger du tilgår (lad os kalde ham user) ftp med, skal være ham du bruger ved:
chown user:apache

for at denne bruger skal kunne uploade, skal det første tal være 7
7=skrive,læse,udføre
6=skrive,læse
5=læse, udføre
4=læse
3=skrive, udføre
2=skrive
1=udføre
0=intet

ikke access herfra...bruger du std port (22) ?

ja

jeg kan selv sagtens har du husket b'et istedet for h'et???

eller reelt behøver det kun være 2, men så kan du intet se og ikke bevæge dig ned i foldere ;)

jepsen...og tele danmarks NS kender ikke det 3 lev. domain. Du er sikker på du har pegningen i orden ?

yaboo.dk findes

Jamen der står ingen steder hvad den bruger hedder....
Det har jo ikke noget med linuxes passwd at gøre.... kan ihvertfald ikke finde de brugere jeg opretter derinde......

evt. en IP ?

Jepper

ellers så brug ip: 80.-196.131.126

80.196.131.126 even :P

Årrrhhh...undskyld...kender ikke det specifikke ftp produkt du bruger

Virtualftp?? Det er det nemmeste siges det :P

"undskyld men ALDRIG ALDRIG ALDRIG 777 ! det sidste 7 tal giver world-writeable files = alle kan alt !"

Det er aldeles helt korrekt. Det kan man godt gjoere under testing installasjon, som et trinn mot det ferdige sluttprodukt. Et annet triks av tilsvarende type er aaa sette firewall helt aapen under uttesting. Det er mange situasjoner der dette er aa anbefale.

Man maa vurdere sikkerheten i en total sammenheng ikke bare se blindt paa "prinsipper". Pleier selv for eksempel aa ha serverne kjoerende paa et lokalt LAN mens jeg lager og tester ut installasjonene.

og hvad vil du så have mig til når jeg er inde ?

sætte brugerretighder så det virker .P

Langbein: Jeg ved ikke hvad man kan acceptere privat osv. men jeg har aldrig nogen sinde oplevet prof. i prof miljøer åbne for alt uden at det var i lukket test miljø !
Selvfølgelig er det da op til folk selv om de vil stikke hovedet op fra skyttegraven et øjeblik for at se om sandsækkene holder, man skal bare vide at man risikerer at få bønen mellem øjnene ;)

thufir: hvad hedder brugeren til din ftpserver kører med...altså dæmonen ?

Det aner jeg jo ikke....

det meste ejes af root:root

noget andet er en gruppe der hedder 1001, siger det dig noget ?

det har jeg ikke sat op... det ommer bare helt automatisk...

tror du det kan have noget med gid og uid og gøre?? jeg oprettede nemlig en rootuser til ftpen og den gav jeg gid og uid til 1001....

hvad logger du på med når du tilgår ftp ?

det er sikkert ftpuseren........ Den længe ventede :P

username ehint
password ******* <----beskyttet.. Gider jeg ikke sige her...

øhhh...logger du ikke på når du tilgår ftp ???

jeg skal bruger det navn du indtaster når du logger på ftp ?

ja ehint er navnet...

jeg har flere brugere.....

høh...ugyldig bruger

Jamen det er jo det jeg siger!!! tp brugerne står ike i /etc/passwd!!!

ftpbrugerne even :P

øhhh...fandt en bruger der hedder ftp...men jeg har ikke tilladelse til at foretage ændringer

heh..... hvilken gid og uid har ftp??

er logget af igen

prøv lige
chown ftp:apache /var/www/html

som root

det er iøvrigt til den gamle ftp... anonFTP!! den man får istalleret med ...... men den er jo kun annonym,..

done

så prøv nu...ellers må finde ud af på deres site, hvilken bruger serveren arbejder med.

tjaa det skriver den nemlig ingen steder!!

DaMN!!!! hjalp ikke....

læser lige alle readme'sne gennem igen... det må da stå der et sted..

Det må være dæmonen der skal sættes rettigheder til, når selve ftp brugerne bliver oprettet separat i ftp tingen

Har fundet hvilken fil den bruger.... den hedder ftpusers og ligger i /etc/ men har oxo fundet ud af at det er en dårlig ftpserver.... har du et andet forslag??? og gider du hjælpe mig??? du skal nok få point for det!

thufir...jeg er ligeglad med de point. Jeg vil meget gerne hjælpe når jeg! ( FSF RulezZzzz ;) http://www.linuxplanet.dk/article/articleview/31/1/5/

Smid ProFTPD på kværnen.
Brug min artikel
Når du ser steder der står /home/ftp bruger du /var/www/html i stedet
Når du ser ftpusers:ftpusers bruger du ftpusers:apache

Så tager vi det derfra...stik mig en mail evt. med dit ICQ, så kontakter jeg dig i aften (er først online igen et sted mellem 20-22)

Vi snakkes ;)

øhhh email??? :P

support@linuxplanet.dk
:)

"Langbein: Jeg ved ikke hvad man kan acceptere privat osv. men jeg har aldrig nogen sinde oplevet prof. i prof miljøer åbne for alt uden at det var i lukket test miljø ! Selvfølgelig er det da op til folk selv om de vil stikke hovedet op fra skyttegraven et øjeblik for at se om sandsækkene holder, man skal bare vide at man risikerer at få bønen mellem øjnene ;)"

Tja si det .. Har da kjoert en server som er satt opp paa denne maaten sammenhengende i ca 2 aar uten et eneste problem. Bare for aa ha testet denne problemstillingen ogsaa. (Foerst Red Hat 6.1, der etter oppgradert til rh 7.1)

Uansett hva slags problemstilling man skal jobbe med saa kan de vaere en fordel aa strukturere oppgaven, dvs aa dele den opp i mindre trinn eller delprosjekter som kan loeses hver for seg.

Ved aa kjoere chmod 777 saa eleminerer man alle problemstillinger som har med eierskap til prosesser aa gjoere, slik at man i foerste omgang kan sette fokus paa det som har med aa faa en del grunnkonfigureringer til aa kjoere. Likeledes saa kan man med fordel sette firewall til fullt aapen.

Naar man har faat grunnkonfigureringen til aa kjerer saa setter man opp de sikkerhetsmwssige tingene opp etterpaa, slik som eierskap og rettigheter til filer og firewall konfigurering.

Man maa desuten vurdere tingene sikkerhetsmessig i en total sammenheng. Det er ikke sikkert at man ikke kan kjoere i aarevis etter chmod 777. Det kommer som sagt litt ann paa den totale sammenheng.

Fikk dere det ellers til aa fungere ??

Jeg er ikke blevet kontaktet endnu så jeg ved ikke om historien endte lykkeligt.

Det er klart jeg vil give dig delvis ret med det forbehold at det bør foregå i et isoleret test miljø.

Jeg vil ikke give dig ret i at 777 kan være med til at finde ud af om en ftp dæmon har skrive rettighed...for med 777 har alt denne rettighed og så er der jo ikke rigtig noget at gå efter.

Ja, 777 er i utgangspunktet bare en midlertidig "crash loesning" mens man feilsoeker konfigurerer noe annet. Man kan ikke finne ut om "noen" har skriverettighet naar denne er gitt til "alle".

Har kjoert ting mot internet i aarevis som ligger litt "paa kanten" bare for aa teste og se. chmod 777 for internetserverens filomraade er en av disse testene.

Dersom en Linux maskin har root som eneste paaloggingskonto, hvilken forkjel for sikkerheten vil det ha dersom man kjoerer chmod 777 ? Hvilke andre brukerkontoer vil det vaere aa beskytte mot ?? Kan man angripe filomraadet via internett uten via en brukerkonto ??

Rett nok skal man kunne lage enkelte triks via php hvis man har dette kjoerende paa serveren. Saa langt saa har dette ikke skjedd.

Har hatt inernettserver(e) kjoerende sammenhengende i ca 5 aar naa. De foerste aarene NT 4. Naa Linux. Har kjoert i miljoer med litt "agressive brukere". Saa langt 0,0 problemes med hacking eller missbruk av ressurser.

Driftsstanser NT 4.0: Stadig vekk
Driftsstanser Red Hat 6.1/7.0/7.1/7.2/7.3: Saa langt ca 2 aar: 0,0