ALP - Aquileia Linux Project

Gruppo Utenti GNU/Linux – Free Software Bassa Friulana
Oggi è 19/03/2019, 2:25

Tutti gli orari sono UTC




Apri un nuovo argomento Rispondi all’argomento  [ 9 messaggi ] 
Autore Messaggio
MessaggioInviato: 10/08/2006, 11:46 
Non connesso
pinguino_imperatore
pinguino_imperatore
Avatar utente

Iscritto il: 26/09/2004, 17:16
Messaggi: 124
Località: Udine e non solo.
Salve, avrei bisogno di una mano.
A volte a gestire macchine con molti utenti, si rischia di dimenticare sempre tante cose; una cosa che mi è venuta in mente è quando ho modificato questo script, in cui praticamente tramite la funzione system() di PHP, faccio partire un programma di linux.

Ora, io posso inibire tramite php.ini l'utilizzo di qualsiasi comando "nocivo" del PHP, ma in pratica non lo voglio fare, perché ho miei script che monitorizzano la situazione server in remoto, e sono scritti tramite PHP, e non voglio ne sostituirli con prodotti che non conosco e ne bloccarli, praticamente per lo stesso motivo, cioè perché funzionano bene.
Ora mi viene il dubbio se posso comunque impedire ad un utente dell'hosting di utilizzarli tramite la designazione dei permessi utente.
In pratica sto pensando al modo per evitare che un utente tramite uno di questo comandi possa lanciare che so: passwd o sudo, tanto per citare, e vorrei farlo tramite i permessi utente o altro modo se c'è.
Chi mi da un ragguaglio su questa situazione?

_________________
Il mio lavoro: StilisticaMente
I miei giochini: Giochi online
http://counter.li.org/cgi-bin/certificate.cgi/361528


Top
 Profilo  
 
 Oggetto del messaggio:
MessaggioInviato: 10/08/2006, 14:09 
Non connesso
slacker
slacker
Avatar utente

Iscritto il: 07/10/2004, 12:41
Messaggi: 1296
Località: Terra - Italia - Friûl - Udine
crea un chroot per certi hosts, così limiti o seghi direttamente tutto.

oppure gestire le cose via suid.

_________________
Devo Proprio? pare di si :)


Top
 Profilo  
 
 Oggetto del messaggio:
MessaggioInviato: 10/08/2006, 16:43 
Non connesso
pinguino_imperatore
pinguino_imperatore
Avatar utente

Iscritto il: 26/09/2004, 17:16
Messaggi: 124
Località: Udine e non solo.
Già fatto, in pratica qualsiasi utente anche facendo che so un ls .. ti dice che non è permesso, ma se lancio top, mi fa vedere i task del sistema.
Non ha senso.

_________________
Il mio lavoro: StilisticaMente
I miei giochini: Giochi online
http://counter.li.org/cgi-bin/certificate.cgi/361528


Top
 Profilo  
 
MessaggioInviato: 10/08/2006, 17:41 
Non connesso
new_entry
new_entry

Iscritto il: 29/07/2006, 21:11
Messaggi: 6
Località: GI
Marcolino ha scritto:
Salve, avrei bisogno di una mano.
Ora, io posso inibire tramite php.ini l'utilizzo di qualsiasi comando "nocivo" del PHP, ma in pratica non lo voglio fare, perché ho miei script che monitorizzano la situazione server in remoto, e sono scritti tramite PHP, e non voglio ne sostituirli con prodotti che non conosco e ne bloccarli, praticamente per lo stesso motivo, cioè perché funzionano bene.
Ora mi viene il dubbio se posso comunque impedire ad un utente dell'hosting di utilizzarli tramite la designazione dei permessi utente.


Ciao, abilita PHP safe mode e modifica safe_mode_exec_dir e open_basedir per ciascun virtual host.

Comunque, se il server web gira sotto un UID con pochi privilegi (es. apache o nobody), l'utente non puo' creare piu' danni di quanti ne potrebbe fare con una shell.

Alex


Top
 Profilo  
 
MessaggioInviato: 10/08/2006, 17:58 
Non connesso
pinguino_imperatore
pinguino_imperatore
Avatar utente

Iscritto il: 26/09/2004, 17:16
Messaggi: 124
Località: Udine e non solo.
alex ha scritto:
Marcolino ha scritto:
Salve, avrei bisogno di una mano.
Ora, io posso inibire tramite php.ini l'utilizzo di qualsiasi comando "nocivo" del PHP, ma in pratica non lo voglio fare, perché ho miei script che monitorizzano la situazione server in remoto, e sono scritti tramite PHP, e non voglio ne sostituirli con prodotti che non conosco e ne bloccarli, praticamente per lo stesso motivo, cioè perché funzionano bene.
Ora mi viene il dubbio se posso comunque impedire ad un utente dell'hosting di utilizzarli tramite la designazione dei permessi utente.


Ciao, abilita PHP safe mode e modifica safe_mode_exec_dir e open_basedir per ciascun virtual host.

Alloran on hai letto su, a me che sono l'amministratore, servono quei comandi, li devo usare.

Cita:
Comunque, se il server web gira sotto un UID con pochi privilegi (es. apache o nobody), l'utente non puo' creare piu' danni di quanti ne potrebbe fare con una shell.

Alex

:roll:

_________________
Il mio lavoro: StilisticaMente
I miei giochini: Giochi online
http://counter.li.org/cgi-bin/certificate.cgi/361528


Top
 Profilo  
 
 Oggetto del messaggio:
MessaggioInviato: 11/08/2006, 6:10 
Non connesso
slacker
slacker
Avatar utente

Iscritto il: 07/10/2004, 12:41
Messaggi: 1296
Località: Terra - Italia - Friûl - Udine
alex ha detto per VH , quindi se te da admin limiti solo quelli che ti interessa, avrai quello che cerchi. il tuo VH con tutto gli altri limitati.

:ciauz:

se no , cosa semplice attraverso un semplice script schedulato ogni tot ( è solo una supposizione ) via CLI crei un output html che puoi visualizzare. Così da far in modo che il sist4ema fa tali operazioni da user X e devrà essere solo dato in output da apache senza aver paura qualche errore da parte dello user.

e così anche per via inversa , da apache crei un file , e sempre via schedule , andare a controllarlo e far agire , sempre a user X o chi per lui , l'operazione che vuoi sia fatta.

credo sia l'unico modo per avere un sistema WEB totalmente slegato dal OS, naturalmente con i suoi ritardi.

_________________
Devo Proprio? pare di si :)


Top
 Profilo  
 
 Oggetto del messaggio:
MessaggioInviato: 11/08/2006, 6:17 
Non connesso
pinguino_imperatore
pinguino_imperatore
Avatar utente

Iscritto il: 26/09/2004, 17:16
Messaggi: 124
Località: Udine e non solo.
Ecco è l'ultima che hai detto :mrgreen:
Ritardi! Non è accettabile.
Per dare servizi di qualità con la concorrenza odierna, anche sulla linea dei prezzi bassi, verso il quale il Web moderno si orienta, la parola ritardo non è accettabile.
In realtà penso che alla fine utilizzeremo un altro sistema, ovvero impediremo tramite php.ini l'utilizzo di tali funzioni.

E per quanto riguarda le funzionalità degli script di controllo, utilizzeremo qualche altro sistema, come ad esempio ruby o python, ma dandone l'uso al solo amministratore di sistema.

_________________
Il mio lavoro: StilisticaMente
I miei giochini: Giochi online
http://counter.li.org/cgi-bin/certificate.cgi/361528


Top
 Profilo  
 
MessaggioInviato: 12/08/2006, 16:47 
Non connesso
new_entry
new_entry

Iscritto il: 29/07/2006, 21:11
Messaggi: 6
Località: GI
Marcolino ha scritto:
alex ha scritto:
Ciao, abilita PHP safe mode e modifica safe_mode_exec_dir e open_basedir per ciascun virtual host.

Alloran on hai letto su, a me che sono l'amministratore, servono quei comandi, li devo usare.


Certo, usi safe mode solo sui virtual host degli utenti, mentre i tuoi script li fai girare normalmente.
Ciao!


Top
 Profilo  
 
 Oggetto del messaggio:
MessaggioInviato: 13/08/2006, 6:58 
Non connesso
pinguino_imperatore
pinguino_imperatore
Avatar utente

Iscritto il: 26/09/2004, 17:16
Messaggi: 124
Località: Udine e non solo.
Non voglio attivare il safe mode, è un servizio professionale in cui molti utenti hanno quella disponibilità.
Nonostante ciò, voglio daree avere una buona sicurezza.

Per questo sto cercando di percorrere altre strade.

_________________
Il mio lavoro: StilisticaMente
I miei giochini: Giochi online
http://counter.li.org/cgi-bin/certificate.cgi/361528


Top
 Profilo  
 
Visualizza ultimi messaggi:  Ordina per  
Apri un nuovo argomento Rispondi all’argomento  [ 9 messaggi ] 

Tutti gli orari sono UTC


Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite


Non puoi aprire nuovi argomenti
Non puoi rispondere negli argomenti
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi inviare allegati

Cerca per:
Vai a:  
cron
Powered by phpBB® Forum Software © phpBB Group
Traduzione Italiana phpBBItalia.net basata su phpBB.it 2010
[ Time : 0.146s | 13 Queries | GZIP : Off ]