לוגו אתר Fresh          
 
 
  אפשרות תפריט  ראשי     אפשרות תפריט  צ'אט     אפשרות תפריט  מבזקים     אפשרות תפריט  צור קשר     חץ שמאלה חץ ימינה  

לך אחורה   לובי הפורומים > מחשבים > מערכות הפעלה
שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים
תגובה
 
כלי אשכול חפש באשכול זה



  #2  
ישן 30-10-2018, 15:25
  שימיadmin שימי אינו מחובר  
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
 
חבר מתאריך: 25.10.01
הודעות: 42,776
בתגובה להודעה מספר 1 שנכתבה על ידי Nati323 שמתחילה ב "בעיית הרשאות באובונטו 18.04"

זה שמשהו כתוב ב group לא בהכרח אומר שאתה כרגע בתוך הקבוצה. זו גם דרך מאוד סבוכה לקבל את המידע הזה, לדעתי. השימוש בפקודות id ו groups הרבה יותר פשוט וגם יראה לך נתוני אמת שמתחשבים בהגדרות nsswitch של המערכת.

אז... אם הפקודות שאמרתי גם אומרות שיש לך הרשאה, זה קצת מוזר. אם הן לא, האם עשית לוגין מחדש (או sudo ואז su למשתמש שלך) מאז שהוספת את עצמך לקבוצה?

אם הן כן אומרות לך שאתה שם וזה עדיין לא עובד, אז באופן טבעי הייתי אומר SELinux ומציע לבדוק אם הוא פועל עם הפקודה sestatus, רק ש... אובונטו משתמשים ב AppArmor למיטב ידיעתי, אז זה הכיוון שם. אפשר לעיין בלוגים השונים ב var/log/ ו/או בפלט של dmesg לראות אם נקלטה שם שגיאה של חריגת הרשאה.

טיפ: אפאצ'י זה משהו שהיה צריך להעלם מהעולם, לדעתי. יש מעט מאוד מקרים שבהם הוא עדיף במערכת ממוצעת. מציע לך לבדוק את Nginx.
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה
נמאס לכם לזכור סיסמאות? לחצו כאן!

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #5  
ישן 30-10-2018, 21:29
  שימיadmin שימי אינו מחובר  
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
 
חבר מתאריך: 25.10.01
הודעות: 42,776
בתגובה להודעה מספר 4 שנכתבה על ידי Nati323 שמתחילה ב "אגב שימי, למה זה קריטי לא..."

א. למה שמישהו ישיג סיסמא?
ב. למה בכלל יש לך סיסמאות לשרת ואתה לא עושה הזדהות באמצעות מפתח ציבורי ונועל את הסיסמאות?
ג. למה בכלל מישהו יכול להעלות קובץ? למה לשרת יש הרשאת כתיבה לספריה הזו? אם יש דברים ספציפיים שאפליקציה צריכה לכתוב אליהם - צור להם ספריה בצד שהשרת יכול לכתוב אליה אבל לא ניתן לגשת אליה דרך שום נתיב web. אגב, גם אם הגענו למצב שבו מישהו קורא את הקבצים, זה גרוע יותר ממצב שהוא גם יכול לכתוב אליהם. בהנחה שהקוד שאתה מריץ על השרת סודי ומשום מה לא הצפנת אותו (למה?), ואולי אפילו מכיל סיסמאות גישה למסד הנתונים, גם זה לא בעייה אלא אם כן הפורץ הוא בעל יכולת לפנות אל מסד הנתונים - מה שבאופן טבעי הוא לא אמור להיות מסוגל אם מסד הנתונים לא מאזין מחוץ לשרת ואם לא ניתן להעלות סקריפטים חדשים שישתמשו באמצעי הזיהוי שנגנבו...
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה
נמאס לכם לזכור סיסמאות? לחצו כאן!

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #6  
ישן 31-10-2018, 20:19
צלמית המשתמש של Nati323
  משתמש זכר Nati323 Nati323 אינו מחובר  
 
חבר מתאריך: 25.10.05
הודעות: 1,508
בתגובה להודעה מספר 5 שנכתבה על ידי שימי שמתחילה ב "א. למה שמישהו ישיג סיסמא? ב...."

נראה לי שלא הבנת את השאלה שלי נכון, במיוחד לאור כל השאלות ששאלת, לכאורה אם אני לוקח בחשבון את כל מה שאמרת ומגביל את כל ההגבלות הנ"ל אז מה בכלל הבעיה לתת 777?

אבל תודה למדתי ממך כמה דברים
א) גם אם אני משתמש בסיסמא שהיא תהיה יוניקית(שלא תשומש במקום אחר ברשת) וקשה לפיצוח
ב) קראתי על זה לא מזמן, אני בהחלט איישם
ג) מז"א? למה בפרש יש אפשרות העלאת קבצים? הרבה אתרים מאפשרים להעלות קבצים (בד"כ תמונות או למקום שלא ניתן להרצה) ברור שצריך להגביל את זה, אבל זה בהחלט צריך להיות נגיש דרך נתיב web.

אבל השאלה שלי הייתה במקור מה הבעיה לתת 777, הרי כל גישה של משתמש לשרת באמצעות אחת מהפרצות הנ"ל תתאפשר לו גם בלי ה 7 האחרון
_____________________________________
חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #7  
ישן 01-11-2018, 00:46
  שימיadmin שימי אינו מחובר  
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
 
חבר מתאריך: 25.10.01
הודעות: 42,776
בתגובה להודעה מספר 6 שנכתבה על ידי Nati323 שמתחילה ב "נראה לי שלא הבנת את השאלה שלי..."

או שאתה לא הבנת את התשובה שלי נכון, זו גם אופציה.

א. עדיין אפשר לנחש אותה ב bruteforce, זה לא משנה אם היא יוניקית או לא. אם לא תהיינה לך סיסמאות אי אפשר יהיה לנחש אותן.
ג. יש כדי שיעלו. הקבצים האלה לא עולים למקומות שבהם אפשר אחרי זה להריץ סקריפטים אם עלו סקריפטים. למעשה, האמת שבפרש הם בכלל עולים למערכת אחרת שאינה מסוגלת להריץ כלום בהגדרה... הסקריפטים של האתר אינם יכולים לכתוב קבצים בשום מקום במרחב ה web, ואין סיבה שהם יוכלו.

הבעייה ב 777, וב 770, היא אותה בעייה. אתה נותן לשרת שלך (ובהשאלה - לאפליקציה שלך) לכתוב קבצים חופשי שאחר כך ניתן להריץ. זה שגם ב 770 אפשרי מה שאפשרי ב 777 - זה לא דבר טוב - זו בעייה!
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה
נמאס לכם לזכור סיסמאות? לחצו כאן!

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #8  
ישן 02-11-2018, 19:11
צלמית המשתמש של Nati323
  משתמש זכר Nati323 Nati323 אינו מחובר  
 
חבר מתאריך: 25.10.05
הודעות: 1,508
בתגובה להודעה מספר 7 שנכתבה על ידי שימי שמתחילה ב "או שאתה לא הבנת את התשובה שלי..."

א) חשבתי שבלינוקס יש הגנה מזה, גם שרת חסם אותי פעם בגלל כמה טעויות ב SSH , כנראה אתה מתכוון לעשות מכמה IP שונים.
ג) אז למשתמש www-data ולקבוצה לא צריכים להיות הרשאות כתיבה? בהנחה שהמקום היחידי שהמשתמש הזה יכול לכתוב אליו הוא תיקיית ה HTML , זה צריך להיות 500? איך עושים deploy במצב כזה?

אפשר כמובן לעשות deploy עם sudo או root ואז לעשות chown אבל אולי רעיון קצת יותר יצירתי הוא ליצור משתמש לדיפלוי שתהיה לו הרשאת 7 על התיקייה html והוא יהיה היוזר של התיקייה ואז את הקבוצה של התיקייה תהיה www-data עם 5? או שאני בכלל לא בכיוון?
_____________________________________
חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו


נערך לאחרונה ע"י Nati323 בתאריך 02-11-2018 בשעה 19:23.
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #9  
ישן 03-11-2018, 18:04
  שימיadmin שימי אינו מחובר  
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
 
חבר מתאריך: 25.10.01
הודעות: 42,776
בתגובה להודעה מספר 8 שנכתבה על ידי Nati323 שמתחילה ב "א) חשבתי שבלינוקס יש הגנה..."

א. אחרי 3 טעויות, SSH ינתק אותך כדי להאט אותך, אבל זה לא מונע ממך להתחבר שוב. אם תתקין fail2ban אז אפשר יהיה לדון בחסימות אוטומטיות. ככלל הייתי טוען לגבי לינוקס שבכללי היא לא עושה משהו בצורה אוטומטית אלא אם כן אתה ביקשת ממנה במיוחד לעשות את זה - זאת בשונה ממערכות אחרות שעושות מה שבא להן, הרבה פעמים בהפתעה וללא שליטה שלך, הרוכש שלהן (כנראה היצרניות שלהן חושבות שהמחשב שלך שלהן ולא שלך...). כמובן שגם אז IP-ים שונים יעקפו את זה. כמובן ששאלה יותר טובה תהיה למה אתה בכלל פותח שירות SSH לכל האינטרנט. יש משהו חיובי שיכול לצאת מזה?

ג. לשם מה הם צריכים הרשאות כתיבה לשם?

deploy אפשר לעשות עם root וגם לא צריך לעשות chown. למה צריך לעשות chown? אז זה יהיה ה owner ושוב תהיה הרשאה. אם זה תוכן לקריאה בלבד ואין שם סודות ממשתמשים אחרים במערכת (כמו סיסמאות גישה למסד נתונים), אפשר שהכל יהיה עם root כ owner ועם הרשאת קריאה לכולם כי זה לא סודי (כלומר 755 על הספריה ו 644 על קבצים בתוכה). אם יש קובץ ספציפי שרת האפליקציה אמורה לקרוא, אפשר אותו ספציפי לעשות עם משתמש או קבוצה של השרת (או שרת האפליקציה שלפעמים רץ כמשתמש אחר, כמו במקרה של php-fpm) עם הרשאת 400, ואז כיוון שהספריה היא בבעלות משתמש אחר, האפליקציה לא יכולה לעשות יותר מדי מעבר למה שאתה תכננת שהיא תעשה.
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה
נמאס לכם לזכור סיסמאות? לחצו כאן!

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #10  
ישן 05-11-2018, 21:40
צלמית המשתמש של Nati323
  משתמש זכר Nati323 Nati323 אינו מחובר  
 
חבר מתאריך: 25.10.05
הודעות: 1,508
בתגובה להודעה מספר 9 שנכתבה על ידי שימי שמתחילה ב "א. אחרי 3 טעויות, SSH ינתק..."

א) אז למה תגביל את ה SSH? ל IP שלך? מה יקרה אם תהיה במקום אחר? או סתם תכבה ותדליק את הראוטר? בהנחה שהתכוונת למציאות שבה יש רק משתמש אחד עם ssh key וזה עדיין פתוח לכל האינטרנט כלומר נגיש מכל מקום.

ב) התכוונתי שאם ההרשאה היא 500 אז ההרשאת קריאה היא על המשתמש של השרת ואז אתה חייב לעשות deploy עם root כיוון שאת הdeploy אתה עושה עם המשתמש שהתחברת אליו דרך ה SSH וגם לו וגם למשתמש של השרת אין הרשאות כתיבה, וה chown כיוון שיצרת את הקובץ עם sudo הוא נרשם על ה root ואז לא תהיה למשתמש של השרת גישה. ואז שאתה עושה chown יש רק לשרת הרשאות קריאה בלי כתיבה כי זה 500.

אני מניח שאם כמו שאתה מתאר שיש הרשאת קריאה לכולם אז הקוד צריך להיות מוצפן כמו שאמרת כמה תגובות מעל, לא בהכרח כדי להגן על זכויות יוצרים, אלא על הנסתרות לה' אלוהינו שלא תהיה פירצת אבטחה בקוד ומישהו שיקרא אותו יעלה על זה. (הזרקת PHP?)

לגבי קבצי סביבה, בהנחה שהם לא נגישים דרך ה web , נניח עם Laravel שיש לו קובץ .env אבל הקובץ שוכן בתיקייה מעל התייקיה הציבורית שהגדרת כ ROOT DIRECTORY האם זה מספיק מוגן? לא נראה לי , כי אם יש אופציה להזריק קוד PHP אז אתה לא מוגן

לסיכום, אני מבין שכל עוד יש גישה למשתמש ה web לקרוא קובץ מסויים, אפילו אם זה 400 בהנחה שיש לך פירצה שמאפשרת הזרקת קוד php תמיד יוכלו לקרוא את התוכן שלו
_____________________________________
חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #11  
ישן 11-11-2018, 09:13
  שימיadmin שימי אינו מחובר  
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
 
חבר מתאריך: 25.10.01
הודעות: 42,776
בתגובה להודעה מספר 10 שנכתבה על ידי Nati323 שמתחילה ב "א) אז למה תגביל את ה SSH? ל..."

א. כן. יש כל מיני פתרונות שיאפשרו לך לשנות את ה IP הזה בצורה דינאמית (כמו Dynamic DNS). כמובן שצריך לעשות בזהירות ולשמור לעצמך גיבויים (לא להית תלוי בספק בודד) - אבל - אפשרי.

ב. המשפט שלך ארוך ומסובך לי מדי (אפילו שקראתי אותו שוב לאחר כמה ימים) - אני אפילו לא מבין אם אתה מצהיר משהו או שואל משהו... נסה להשתמש בסימני פיסוק.

אני לא יודע מהיכן אתה "מזריק קוד PHP". אתה יכול לתת לי דוגמה איך עושים דברים כאלה? (מבלי שבקוד שלך יהיה משהו ממש טפשי כמו להריץ eval() על קלט מהמשתמש או גם לאפשר את allow_url_fopen שחסום בברירת מחדל וגם לעשות include/require על קלט מהמשתמש בלי לבדוק שהוא אחד מהדפים שאתה אכן מצפה להיות מסוגל לאנקלד...) - מילא היית אומר הזרקת SQL, זה יותר נפוץ כי אנשים שמים קלט מהמשתמש כחלק מבניית שאילתת SQL במקום להשתמש ב parameterized queries... אבל... הזרקת PHP?

אבל כן, אם מישהו יכול לגרום לשרת שלך להריץ קוד כרצונו, כמובן שהוא יוכל לעשות בדיוק מה שהשרת עושה - ולכן בדיוק ההרשאות שהצעתי, כדי למזער את האפשרויות שיש במקרים כאלה.
_____________________________________
תמונה שהועלתה על ידי גולש באתר ולכן אין אנו יכולים לדעת מה היא מכילה
נמאס לכם לזכור סיסמאות? לחצו כאן!

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
  #12  
ישן 16-11-2018, 20:57
צלמית המשתמש של Nati323
  משתמש זכר Nati323 Nati323 אינו מחובר  
 
חבר מתאריך: 25.10.05
הודעות: 1,508
בתגובה להודעה מספר 11 שנכתבה על ידי שימי שמתחילה ב "א. כן. יש כל מיני פתרונות..."

ב) אני התייחסתי להודעה שלי מלפני, וניסיתי להסביר למה לעשות deploy עם root זה בעייתי בהנחה וההרשאה היא 500. והסברתי למה צריך chown.

בכל מקרה, בהזרקת PHP התכוונתי לדוגמאות שציינת, פחות ל eval יותר ל include , אני מודע שצריך לפלטר את הקלט, למרות שראיתי כאלו שלא עשו את זה, אבל בכל מקרה אנחנו דנים פה על מתי שיש פירצת אבטחה, אם אין הזרקת PHP ואם אין גישה לשרת מלבד SSH key ואתה לא מעלה קבצים לשרת אז תתן גם 777, ולא תהיה בעיה כי לאף אחד אין גישה לעשות עם זה משהו חוץ ממך
_____________________________________
חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
תגובה

כלי אשכול חפש באשכול זה
חפש באשכול זה:

חיפוש מתקדם
מצבי תצוגה דרג אשכול זה
דרג אשכול זה:

מזער את תיבת המידע אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים
אתה לא יכול להגיב לאשכולות
אתה לא יכול לצרף קבצים
אתה לא יכול לערוך את ההודעות שלך

קוד vB פעיל
קוד [IMG] פעיל
קוד HTML כבוי
מעבר לפורום



כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 00:12

הדף נוצר ב 0.05 שניות עם 11 שאילתות

הפורום מבוסס על vBulletin, גירסא 3.0.6
כל הזכויות לתוכנת הפורומים שמורות © 2024 - 2000 לחברת Jelsoft Enterprises.
כל הזכויות שמורות ל Fresh.co.il ©

צור קשר | תקנון האתר