Cum se face ca sa fie cat mai ok dpdv al securitatii:
In primul rand gandeste-te ca pagina ta php este un program care va
rula cu privilegiile userului apache. Mai apoi tine cont ca
aplicatiile web pot fi (si sunt!) foarte abuzate si sunt intotdeauna
un risc de securitate, asa ca trebuie sa umbli cu foarte mare atentie
la acordarea de privilegii.
In aceste conditii pot recomanda urmatoarele:
- ai zis ca te loghezi cu userul apache. Foarte rau, userul apache nu
are nevoie de shell pentru activitati legitime, ca atare nu trebuie
sa-i dai. Solutie : pune-i shell /bin/false in /etc/passwd (sau cu
chsh)
- de asemenea ai zis ca poti da "sudo su" cu userul apache. Asta e
chiar mai rau, inseamna ca orice script php poate obtine fara probleme
drepturi de root. Fa curat prin /etc/sudoers , respectiv scoate userul
apache din grupul "wheel"
- pentru a rula exact acea comanda, solutia cu cel mai mult control
este sa faci un script bash care sa faca _exact_ ce ai nevoie ca root,
nimic mai mult. Apoi permite via /etc/sudoers userului apache sa
ruleze ca root fara parola _doar_ acel script. (Mai e o posibilitate,
cu chmod u+s , dar in cazul scripturilor bash nu are efect, din cate
stiu. in plus e mult mai usor de ratacit un script setuidat decat o
linie in sudoers). Vezi ca ai in man 5 sudoers niste exemple (nu te
speria de partea de inceput, skip to examples) .
Greseala cea mai intalnita in cazul asta este "ii fac ce-oi face ca sa
mearga si eventual tai din firewall la sfarsit, oricum e o aplicatie
interna". NU fa asta, e o panta foarte alunecoasa.
Multumesc pentru sfaturi! Sunt perfect de acord cu tine! Cateva masuri
de securitate mi-am luat care sa ma acopere cat de cat (ip-ul paginii
este unul intern, accesul se poate face numai pe baza de user si parola,
ssh se poate face doar de la 2 ip-uri,...). Ce am vrut eu a fost sa vad
ca intradevar merge. Oricum chestia la care "lucrez" nu trebuie sa fie
gata pana maine sau poimaine si pe langa asta, atunci cand va fi gata,
trebuie sa functioneze fara nici o problema pentru ca nu prea o sa mai
am cale de intoarcere. Asa ca de acum urmeaza punerea la punct a
problemelor care pot sa apara si mai ales, asa cum ai mentionat, a
gaurilor de securitate care intervin.
Inca o data, multumesc pentru sfaturi si pentru ajutorul acordat!
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
