evet kargaşa var. birincisi her kullanıcın public_html dosyası kendi dizinindedir ve apachein okuması için 711 izninde olmalıdır yani herkes tarafından calıştırılabiliyor olması lazım. tabi siz özel durum oluşturmadıysanız. ikincisi bu tarz sunucular en güvensiz sunuculardır öğrencilerin şifreleri 1234 bile olabiliyor her ne kadar uyarsanız bile. Eğer kural koymaya kalkışırsanız her dakika şifremi unutdum diyen kişiler gelebilir.
O yüzden güvenlikte en uç noktayı göz önüne almalısınız. aynı şekilde birden fazla insanın ulaşabildiği web serverlar gibi. Çünkü bir zayıf halka tüm zinciri bozabilir. Benim sorunum zaten jail li kuramamaktı. zaten onuda dün akşam dikkat edip debug edince çözdüm. Diğer güvenlik önlemleri içinse bütçemiz yetersiz Kolay gelsin Murat Gezer 2010/10/3 Cagri Ersen <[email protected]>: > > > 2010/10/3 Cagri Ersen <[email protected]> >> >> Sanırım kavram karmaşası yaşıyoruz :) >> Örnek üzerinden gidelim mi ? : >> >>> çok basit herkesin home dizini çersinde public_html var değilmi. Ödevi >>> oraya koymak dumundalar web sayfası olması için değilmi. >> >> ahmet ve mehmet isimli iki öğrenciniz var, odevlerini yayinlamalari icin >> sunucuda ahmet ve mehmet isimli iki adet kullanici actiniz. >> Odevlerini koyacaklari ana dizinleri >> >> /home/ahmet/public_html >> /home/mehmet/public_html > > Düzeltme: > dizinler: > /home/public_html/ahmet > /home/public_html/mehmet > olacaktı. >> >> şeklinde. >> Dizinlerin izinleri de aşağıdaki gibi: >> -rwxr-x--- 1 ahmet httpd /home/ahmet/public_html >> ve >> -rwxr-x--- 1 mehmet httpd /home/ahmet/public_html > > düzeltme 2: > -rwxr-x--- 1 ahmet httpd /home//public_html/ahmet > olacaktı >> >> Ahmet ve Mehmet kendi dizinlerinde diledikleri gibi yazma cizme islemi >> yapabilirken, apache kullanıcısı php betiklerini derleyip web üzerinden >> yayınlayabilmek için okuma ve calistirma iznine sahip. >> Sizin de yapınız bu şekilde değil mi ? (değilse başka tabii..) >> Bu durumda apche'ye (bir php script yazarak) ahmet dizininde bulunan >> falanca.php'yi mehmet dizinine kopyala nasil dedirtebiliriz ? Nitekim apache >> kullanicisinin mehmet dizinine yazma yetkisi yok. php dosyasının kaynak >> kodunu web üzerinden de görüntüleyemeyeceklerine göre.... >> Zira, dediğiniz gibi yapmak durumunda olunsa, o halde tüm hostingciler vs. >> sistemlerinde jail ortamı çalıştırmak zorunda kalırlardı. Nitekim aynı web >> sunucu üzerindeki herkes, birbirinin dizinlerini, uygulamalarını vs. >> görüntülerlerdi öyle değil mi ? >>> >>> İyi o zaman >>> normal bir server kurduğunuzd apachein okuması icin onun grubuna izin >>> vermeniz gerekir değilmi? eğer öyle izin veriyorsanız o takdirde php >>> yi bilen bir kişi (yada ufak internet araştırması yapan kişi) başka >>> public_html ler altına erişebilecek scripti yazabilir. Çünkü onun >>> scriptinin calışması gereken grup ile diğer scriptin grubu aynı ve >>> herkesin dizini public_html olduğuna göre dosya adını bulmakta kolay >>> örneğn hw1.php ise onu kendi tarafına aktarabilir. >>> >>> ama jail ile birbirinden ayırmış olursunuz herşeyi. >>> >>> >>> Kolay gelsin >>> >>> Murat Gezer >>> >>> 2010/10/3 Cagri Ersen <[email protected]>: >>> > Bir seyi merak ettim: >>> >> >>> >> O zaman şöyle diyelim >>> >> >>> >> >>> >> /home/test/public_html/index.php >>> >> >>> >> >>> >> adlı bir ödeviniz olsun >>> >> >>> >> >>> >> mgezer adlı kullanıcı >>> >> >>> >> vi /home/test/public/index.php >>> >> >>> >> diyerek odevinizi okuyup kopyalayabilir :) >>> > >>> > mgezer kullanicisi, sahibinin kendisi olmadığı (grubu da apache olan >>> > diyelim) mod'u 750'ye set edilmiş bir dizini/dosyayı nasil >>> > goruntuleyebilecegini anlayamadim. >>> >> >>> >> >>> >> >>> >> chroot yaptığınız zaman birbirinden absorbe etmiş olursunuz. >>> >> >>> > -- >>> > Cagri Ersen >>> > http://www.syslogs.org >>> > >>> > >>> > _______________________________________________ >>> > Linux-guvenlik mailing list >>> > [email protected] >>> > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik >>> > Liste kurallari: http://liste.linux.org.tr/kurallar.php >>> > >>> > >>> _______________________________________________ >>> Linux-guvenlik mailing list >>> [email protected] >>> https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik >>> Liste kurallari: http://liste.linux.org.tr/kurallar.php >> >> >> >> -- >> Cagri Ersen >> http://www.syslogs.org >> > > > > -- > Cagri Ersen > http://www.syslogs.org > > > _______________________________________________ > Linux-guvenlik mailing list > [email protected] > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > Liste kurallari: http://liste.linux.org.tr/kurallar.php > > _______________________________________________ Linux-guvenlik mailing list [email protected] https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik Liste kurallari: http://liste.linux.org.tr/kurallar.php
