התקנתי אפאצ'י ואני מנסה לכתוב לתוך /var/www/html

קוד:

nati@nati-pc:/var/www/html$ touch example
 touch: cannot touch 'example': Permission denied

הרשאות של www

קוד:

nati@nati-pc:/var$ ls -al
 drwxrwxr-x  3 www-data www-data 4096 Oct 29 20:40 www

הרשאות של html

קוד:

 nati@nati-pc:/var/www$ ls -al
 drwxrwxr-x  2 www-data www-data 4096 Oct 29 20:40 html

אני בתוך הקבוצה

קוד:

nati@nati-pc:/var/www$ awk -F':' '/www-data/{print $4}' /etc/group
 nati

למה זה לא עובד לי?

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

זה שמשהו כתוב ב group לא בהכרח אומר שאתה כרגע בתוך הקבוצה. זו גם דרך מאוד סבוכה לקבל את המידע הזה, לדעתי. השימוש בפקודות id ו groups הרבה יותר פשוט וגם יראה לך נתוני אמת שמתחשבים בהגדרות nsswitch של המערכת.

אז... אם הפקודות שאמרתי גם אומרות שיש לך הרשאה, זה קצת מוזר. אם הן לא, האם עשית לוגין מחדש (או sudo ואז su למשתמש שלך) מאז שהוספת את עצמך לקבוצה?

אם הן כן אומרות לך שאתה שם וזה עדיין לא עובד, אז באופן טבעי הייתי אומר SELinux ומציע לבדוק אם הוא פועל עם הפקודה sestatus, רק ש... אובונטו משתמשים ב AppArmor למיטב ידיעתי, אז זה הכיוון שם. אפשר לעיין בלוגים השונים ב var/log/ ו/או בפלט של dmesg לראות אם נקלטה שם שגיאה של חריגת הרשאה.

טיפ: אפאצ'י זה משהו שהיה צריך להעלם מהעולם, לדעתי. יש מעט מאוד מקרים שבהם הוא עדיף במערכת ממוצעת. מציע לך לבדוק את Nginx.

נמאס לכם לזכור סיסמאות? לחצו כאן!

תודה, באמת id הראה שאני לא בתוך הקבוצה sudo su user פתר את זה.
אלפי תודות

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

אגב שימי, למה זה קריטי לא לקבוע 777 לתיקייה /var/www/html
בהנחה והשרת הוא בעל שתי משתמשים בלבד , root ועוד אחד של המנהל מערכת, אם מישהו השיג את הסיסמא אז הוא גם ככה יכול לעשות מה שהוא רוצה אם לא אז גם ככה הוא מצליח להעלות קובץ PHP לדוגמא הוא יכול לטייל בכל הקבצים שם מתוקף העובדה שזה רץ ע"י אפאצ'י

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

א. למה שמישהו ישיג סיסמא?
ב. למה בכלל יש לך סיסמאות לשרת ואתה לא עושה הזדהות באמצעות מפתח ציבורי ונועל את הסיסמאות?
ג. למה בכלל מישהו יכול להעלות קובץ? למה לשרת יש הרשאת כתיבה לספריה הזו? אם יש דברים ספציפיים שאפליקציה צריכה לכתוב אליהם - צור להם ספריה בצד שהשרת יכול לכתוב אליה אבל לא ניתן לגשת אליה דרך שום נתיב web. אגב, גם אם הגענו למצב שבו מישהו קורא את הקבצים, זה גרוע יותר ממצב שהוא גם יכול לכתוב אליהם. בהנחה שהקוד שאתה מריץ על השרת סודי ומשום מה לא הצפנת אותו (למה?), ואולי אפילו מכיל סיסמאות גישה למסד הנתונים, גם זה לא בעייה אלא אם כן הפורץ הוא בעל יכולת לפנות אל מסד הנתונים - מה שבאופן טבעי הוא לא אמור להיות מסוגל אם מסד הנתונים לא מאזין מחוץ לשרת ואם לא ניתן להעלות סקריפטים חדשים שישתמשו באמצעי הזיהוי שנגנבו...

נמאס לכם לזכור סיסמאות? לחצו כאן!

נראה לי שלא הבנת את השאלה שלי נכון, במיוחד לאור כל השאלות ששאלת, לכאורה אם אני לוקח בחשבון את כל מה שאמרת ומגביל את כל ההגבלות הנ"ל אז מה בכלל הבעיה לתת 777?

אבל תודה למדתי ממך כמה דברים
א) גם אם אני משתמש בסיסמא שהיא תהיה יוניקית(שלא תשומש במקום אחר ברשת) וקשה לפיצוח
ב) קראתי על זה לא מזמן, אני בהחלט איישם
ג) מז"א? למה בפרש יש אפשרות העלאת קבצים? הרבה אתרים מאפשרים להעלות קבצים (בד"כ תמונות או למקום שלא ניתן להרצה) ברור שצריך להגביל את זה, אבל זה בהחלט צריך להיות נגיש דרך נתיב web.

אבל השאלה שלי הייתה במקור מה הבעיה לתת 777, הרי כל גישה של משתמש לשרת באמצעות אחת מהפרצות הנ"ל תתאפשר לו גם בלי ה 7 האחרון

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

או שאתה לא הבנת את התשובה שלי נכון, זו גם אופציה.

א. עדיין אפשר לנחש אותה ב bruteforce, זה לא משנה אם היא יוניקית או לא. אם לא תהיינה לך סיסמאות אי אפשר יהיה לנחש אותן.
ג. יש כדי שיעלו. הקבצים האלה לא עולים למקומות שבהם אפשר אחרי זה להריץ סקריפטים אם עלו סקריפטים. למעשה, האמת שבפרש הם בכלל עולים למערכת אחרת שאינה מסוגלת להריץ כלום בהגדרה... הסקריפטים של האתר אינם יכולים לכתוב קבצים בשום מקום במרחב ה web, ואין סיבה שהם יוכלו.

הבעייה ב 777, וב 770, היא אותה בעייה. אתה נותן לשרת שלך (ובהשאלה - לאפליקציה שלך) לכתוב קבצים חופשי שאחר כך ניתן להריץ. זה שגם ב 770 אפשרי מה שאפשרי ב 777 - זה לא דבר טוב - זו בעייה!

נמאס לכם לזכור סיסמאות? לחצו כאן!

א) חשבתי שבלינוקס יש הגנה מזה, גם שרת חסם אותי פעם בגלל כמה טעויות ב SSH , כנראה אתה מתכוון לעשות מכמה IP שונים.
ג) אז למשתמש www-data ולקבוצה לא צריכים להיות הרשאות כתיבה? בהנחה שהמקום היחידי שהמשתמש הזה יכול לכתוב אליו הוא תיקיית ה HTML , זה צריך להיות 500? איך עושים deploy במצב כזה?

אפשר כמובן לעשות deploy עם sudo או root ואז לעשות chown אבל אולי רעיון קצת יותר יצירתי הוא ליצור משתמש לדיפלוי שתהיה לו הרשאת 7 על התיקייה html והוא יהיה היוזר של התיקייה ואז את הקבוצה של התיקייה תהיה www-data עם 5? או שאני בכלל לא בכיוון?

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

א. אחרי 3 טעויות, SSH ינתק אותך כדי להאט אותך, אבל זה לא מונע ממך להתחבר שוב. אם תתקין fail2ban אז אפשר יהיה לדון בחסימות אוטומטיות. ככלל הייתי טוען לגבי לינוקס שבכללי היא לא עושה משהו בצורה אוטומטית אלא אם כן אתה ביקשת ממנה במיוחד לעשות את זה - זאת בשונה ממערכות אחרות שעושות מה שבא להן, הרבה פעמים בהפתעה וללא שליטה שלך, הרוכש שלהן (כנראה היצרניות שלהן חושבות שהמחשב שלך שלהן ולא שלך...). כמובן שגם אז IP-ים שונים יעקפו את זה. כמובן ששאלה יותר טובה תהיה למה אתה בכלל פותח שירות SSH לכל האינטרנט. יש משהו חיובי שיכול לצאת מזה?

ג. לשם מה הם צריכים הרשאות כתיבה לשם?

deploy אפשר לעשות עם root וגם לא צריך לעשות chown. למה צריך לעשות chown? אז זה יהיה ה owner ושוב תהיה הרשאה. אם זה תוכן לקריאה בלבד ואין שם סודות ממשתמשים אחרים במערכת (כמו סיסמאות גישה למסד נתונים), אפשר שהכל יהיה עם root כ owner ועם הרשאת קריאה לכולם כי זה לא סודי (כלומר 755 על הספריה ו 644 על קבצים בתוכה). אם יש קובץ ספציפי שרת האפליקציה אמורה לקרוא, אפשר אותו ספציפי לעשות עם משתמש או קבוצה של השרת (או שרת האפליקציה שלפעמים רץ כמשתמש אחר, כמו במקרה של php-fpm) עם הרשאת 400, ואז כיוון שהספריה היא בבעלות משתמש אחר, האפליקציה לא יכולה לעשות יותר מדי מעבר למה שאתה תכננת שהיא תעשה.

נמאס לכם לזכור סיסמאות? לחצו כאן!

א) אז למה תגביל את ה SSH? ל IP שלך? מה יקרה אם תהיה במקום אחר? או סתם תכבה ותדליק את הראוטר? בהנחה שהתכוונת למציאות שבה יש רק משתמש אחד עם ssh key וזה עדיין פתוח לכל האינטרנט כלומר נגיש מכל מקום.

ב) התכוונתי שאם ההרשאה היא 500 אז ההרשאת קריאה היא על המשתמש של השרת ואז אתה חייב לעשות deploy עם root כיוון שאת הdeploy אתה עושה עם המשתמש שהתחברת אליו דרך ה SSH וגם לו וגם למשתמש של השרת אין הרשאות כתיבה, וה chown כיוון שיצרת את הקובץ עם sudo הוא נרשם על ה root ואז לא תהיה למשתמש של השרת גישה. ואז שאתה עושה chown יש רק לשרת הרשאות קריאה בלי כתיבה כי זה 500.

אני מניח שאם כמו שאתה מתאר שיש הרשאת קריאה לכולם אז הקוד צריך להיות מוצפן כמו שאמרת כמה תגובות מעל, לא בהכרח כדי להגן על זכויות יוצרים, אלא על הנסתרות לה' אלוהינו שלא תהיה פירצת אבטחה בקוד ומישהו שיקרא אותו יעלה על זה. (הזרקת PHP?)

לגבי קבצי סביבה, בהנחה שהם לא נגישים דרך ה web , נניח עם Laravel שיש לו קובץ .env אבל הקובץ שוכן בתיקייה מעל התייקיה הציבורית שהגדרת כ ROOT DIRECTORY האם זה מספיק מוגן? לא נראה לי , כי אם יש אופציה להזריק קוד PHP אז אתה לא מוגן

לסיכום, אני מבין שכל עוד יש גישה למשתמש ה web לקרוא קובץ מסויים, אפילו אם זה 400 בהנחה שיש לך פירצה שמאפשרת הזרקת קוד php תמיד יוכלו לקרוא את התוכן שלו

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

א. כן. יש כל מיני פתרונות שיאפשרו לך לשנות את ה IP הזה בצורה דינאמית (כמו Dynamic DNS). כמובן שצריך לעשות בזהירות ולשמור לעצמך גיבויים (לא להית תלוי בספק בודד) - אבל - אפשרי.

ב. המשפט שלך ארוך ומסובך לי מדי (אפילו שקראתי אותו שוב לאחר כמה ימים) - אני אפילו לא מבין אם אתה מצהיר משהו או שואל משהו... נסה להשתמש בסימני פיסוק.

אני לא יודע מהיכן אתה "מזריק קוד PHP". אתה יכול לתת לי דוגמה איך עושים דברים כאלה? (מבלי שבקוד שלך יהיה משהו ממש טפשי כמו להריץ eval() על קלט מהמשתמש או גם לאפשר את allow_url_fopen שחסום בברירת מחדל וגם לעשות include/require על קלט מהמשתמש בלי לבדוק שהוא אחד מהדפים שאתה אכן מצפה להיות מסוגל לאנקלד...) - מילא היית אומר הזרקת SQL, זה יותר נפוץ כי אנשים שמים קלט מהמשתמש כחלק מבניית שאילתת SQL במקום להשתמש ב parameterized queries... אבל... הזרקת PHP?

אבל כן, אם מישהו יכול לגרום לשרת שלך להריץ קוד כרצונו, כמובן שהוא יוכל לעשות בדיוק מה שהשרת עושה - ולכן בדיוק ההרשאות שהצעתי, כדי למזער את האפשרויות שיש במקרים כאלה.

נמאס לכם לזכור סיסמאות? לחצו כאן!

ב) אני התייחסתי להודעה שלי מלפני, וניסיתי להסביר למה לעשות deploy עם root זה בעייתי בהנחה וההרשאה היא 500. והסברתי למה צריך chown.

בכל מקרה, בהזרקת PHP התכוונתי לדוגמאות שציינת, פחות ל eval יותר ל include , אני מודע שצריך לפלטר את הקלט, למרות שראיתי כאלו שלא עשו את זה, אבל בכל מקרה אנחנו דנים פה על מתי שיש פירצת אבטחה, אם אין הזרקת PHP ואם אין גישה לשרת מלבד SSH key ואתה לא מעלה קבצים לשרת אז תתן גם 777, ולא תהיה בעיה כי לאף אחד אין גישה לעשות עם זה משהו חוץ ממך

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

אם אתה רוצה לעבוד עם ההנחה שאין פרצות אבטחה, למרות שהן קיימות מאז שמחשבים קיימים, ולעניות דעתי, לפחות בזמן החיים שלנו (לא יודע מה יהיה בעתיד עם בינה מלאכותית ש'לא טועה' וכותבת קוד בעצמה...) גם תהיינה בעתיד, לך על זה. רצוי, למען הסדר הטוב, שתודיע למשתמשים שלך שאתה נוקט באופן מכוון בשיטה שאתה יודע שאינה בטוחה, מסיבות שאינן ממש ברורות.

נמאס לכם לזכור סיסמאות? לחצו כאן!