[Sven]

Kas keegi on kursis kuidas on võimalik vahetada Apache kasutajat? Näiteks php exec("whoami") näitab et kasutaja on www-data aga tahaks, et kasutajat on võimalik authoriseerida veebipõhiselt. On väike mõte teha paar veebipõhist scripti, mille abil on võimalik käivitada/peatada protsesse kui mingi teatud kasutaja all/alt. Olen kuulnud, et läbi Perli saab mingi mooduli abil, aga ei tea kuidas ja kas see on võimlik näiteks php või pythoni abil?

[Andrus Luht]

php's safe_mode peale ja edasi peaks apache skripte käivitama selle virtuaalserveri omaniku õigustes...

[Sven]

Nagu root kasutaja alt? See on küll lahendus, aga mitte turvaline....

[Andrus Luht]

Svenx, mida imet sa seda virt-serverit root'i alt jooksutama peaks!? ma sain aru, et sul oli vaja tavakasutaja õigustes midagi jooksutada ja mitte apache:apache

[Sven]

Ei ma ei tahagi midagi root-i alt jooksutada, lihtsalt sain su vastusest:

[Andrus Luht]

Svenx, vaata netist, mis teeb apache konfis rida SuexecUserGroup

[Sven]

[mikk36]

BReaK da iCE, milleks "Safe mode" hea on ?

[Andrus Luht]

mikk36, PHP6'ga muutub palju. Ainuke asi, et täna majandame me endiselt PHP5'ga ja lähi kuudel (aastatel?) see muutumas pole. Safe_Mode on aga möödapääsmatu asi avalikes hostinguserverites. Sealsamas tuleb ka Suexec mängu. Turvalisus...

[mikk36]

BReaK da iCE, ei ole möödapääsmatu, enamustes asjalikes hostingutes on safe mode maas.
Turvata annab ka ilma safe modeta.

[Andrus Luht]

mikk36, koodi saab kaa nii kirjutada, et safe_mode=On ei ole probleemiks...

[Sven]

Mul kodus Ubuntu server 8.04.1 selle peal proovin erinevaid meetodeid. Muidu tean, et Webmin kasutab sellist authoriseerimis meetodit, kuid ei ole aimugi kuidas seda nimetatakse ja ei oska otsida, plealegi see on kirjutatud üdini Perlis ja on iseseisva Apache serveriga....

[mikk36]

BReaK da iCE, jah saab, aga miks soovitada selle peale panemist ?

[Andrus Luht]

[Sven]

Kusagil Perl-is või Python-is oleks kindlasti parem ja turvalisem sellist asja kirjutada kui aus olla...

[Smith]

Pole just "authoriseerimine", aga kui panna näiteks PHP seest exec()-itaval progel/skriptil setuid püsti ja omanikuks see kes vaja?

[Sven]

noo väga vahet polegi, tegelt on põhiline see, et protsess töötaks mingi teatud kasutaja alt va. www-data. Aga kas setuid töötab kui seda www-data käivitab?

[mikk36]

Pigem uurida kuidas käivitada php-cgi mingi kindla kasutaja alt.

[Smith]

Ja mispoolest see minu pakutud variandist parem oleks?

[mikk36]

Kui php ise mingi muu vingema kasutaja all jookseb, siis pead garanteerima selle, et ei suudetaks käivitada omavoliliselt mingit muud exec() käsku.

[Smith]

No siis ei ole parem ju?

[inzinz]

On ju suur vahe sellel, kas sa paned apache näiteks root kasutaja alla jooksma ja siis ise teed php koodis setuid ja setgid, et jooksutada koodi miski kasutaja õigustega.
Või sellel et paned kohe apachele uid ja gid paika ning piirad php õigused ilusti ära nii, et ei saaks kogemata/meelega mingit jama teha.
Kui eesmärgiks on veebihostimine nii et eri kasutajate domeenidel on php vastavate kasutajate õigustega, siis root modes tööle panemine ja setuid/setgid ei kõlba kuskile. Pluss kui on veebihostimine eesmärgiks, siis exec käsuga php skripti jooksutades ei jõua GET ja POST parameetrid teise skriptini, mis aga võib vajalik olla.

Kui teaks täpsemalt mille jaoks vaja seda võiks ka teisi lahendusi pakkuda.
Näiteks kui on vaja mingite teenuste haldamiseks mida root kasutaja ainult saab hallata (või on vaja hallata korraga mitme kasutaja asju), siis üheks lahenduseks oleks teha proxy süsteem, kus sa veebi interface kaudu annad käskluse ette, et restardi apache näiteks või jooksuta toda skripti selle kasutajana, see käsklus salvestatakse baasi, samal ajal jookseb root õigustega croni skript iga minuti tagant mis kontrollib kas on uusi käskluseid, kui on siis täidab need soovitud kasutaja õigustes.

Antud lahenduse eeliseks on see, et ei pea jooksutama php'd CGI modes vaid saab kasutada ka kiiremat SAPI mode'i (mis on tavaliselt default seadistus), mille eeliseks CGI ees on see, et ei tõmmata iga requesti peale php executablet tööle vaid php on apachesse laetud ning oskab ressursse paremini jagada olles seega reageerimisaja poolest tunduvalt kiirem.

Kui teaks täpsemalt mille jaoks vaja saaks täpsemini soovitada: mis protsesse vaja jooksutada, kui tihti, mis on põhjus miks vaja just mingi kindla kasutaja all jooksutada (võibolla saab ka teisiti läheneda, oleneb täitsa olukorrast).

[Le Inc]

Teemasse haakuv küsimus:

On windows XP server millel jookseb apache2.2 ja php 5.2.4. Server kuulub linux'i hallatavasse domain'i. Windows login kasutajal on õigused ühte teatud kataloogi kirjutada ja joonistada, kuid kui apache alt panna mingi kirjutamine/lugemine/joonistamine tööle (selle kutsub php fclose(), fopen() välja) siis hakkab pahandama et "premission denied".

Küsimus ongi selles kuidas windowsi apache'i õpetada lugema ja kirjutama linuxist? Kas teha linuxisse kasutaja apache!? Missuguse kasutajana apache end linuxile üldse näitab? Pmst saaks smb.conf midagi kirjutada .. samas ei taha kataloogi õigusi ka kõigile kärssadele laiali jagada.

[Andrus Luht]

Le Inc, ega siin head lahendust polegi. Oleks selle XP asemel sul linux siis saaks mida iganes teha. Täna võiksid kaaluda peidetud share kasutamist ( browseable = no ).

[Le Inc]

Hehe, sain asja jonksu. Nagu enne oli ka juttu jooksis apache 2 LocalSystem accoundi õigustega. Polnud vaja teha muud kui võtta Services -> Apache 2.2 -> Log On ja sealt klikata This account ning anda talle domeeni kasutaja võrguõigused.

Siiski töötab vaid UNC ehk \\192.XXX.X.XX\VaheKataloog\P0rr\Kataloog123\ aga mitte map'itud variant Q:\Kataloog123\. Samas vahet pole. Peaasi et asi töötab.

PS! Googeldamine toob soovitud vastused varem või hiljem meie õuele