chroot?

Instaliraj phpmyadmin za pristup bazi.

hmmm.. da instaliram phpmyadmin na serveru i da dozvolim svakom korisniku da ga koristi samo na svojoj bazi..ako sam dobro razumeo...
da li sam?

Neka svaki korisnik nad svojim home direktorijumom postavi chmod 700 i tada drugi korisnici nece moci da mu udju u home direktorijum i da mu citaju fajlove iz njega. A apache ce raditi.

Probao sam 700 , nece moci tako...prezentacije u home/neki_user/public_html nije vidljiva :forbiden je!
ima li josh predloga?

Pricas napamet ( da ne kazem gluposti ). Apache ce raditi jedino u suexec varijanti.



=bc

Mislis mod 711? Ili jos bolje, 701.. Sve korisnike strpas u istu grupu (users) i miran si

To nece spreciti setanje po public_html direktorijumu korisnika i citanje skripti. Mislim da je ipak bolje ukinuti shell i dati im pristup bazi preko phpmyadmin.

Ispravka: 701 ce spreciti korisnike iste grupe da udju.

[Ovu poruku je menjao popeye dana 15.04.2004. u 19:07 GMT]

To nema velike poente ako imas dozvoljen cgi ili php bez safe mode-a.

U oba slucaja tvoj mir je narusen.

Ne znam da li si mislio na moj post, ali ako ti svi korisnici pripadaju istoj (jednoj jedinoj) grupi i ako je korisnicima home direktorijum sa mod 701, pokazi mi tog korisnika koji moze da cita public_html (ili bilo koji drugi dir i/ili fajl) od drugih korisnika :)

Mozda je moj linux drugaciji od tvog, ali:




Naravno, kroz apache se lepo vidi index.mhtml kao http://home/~alex/index.mhtml

Poz,
alex.

Odnosilo se na Lozanovicev post o menjanju dozvola na maticnom direktorijumu (pretpostavio sam da je greskom upisao 700, verovatno misleci na 711). Tvoj post sam video naknadno i ispravio poruku, jer je ispravno resenje.

Ako je jedini razlog za posedovanje shella pristup MySQL bazi i dalje smatram da je najelegantnije resenje phpmyadmin uz, kako je Bojan rekao, safe mod i bez neproverenih cgi skripti.

PS. Nije mi jasno zasto je vreme unosenja ispravke pomereno za +1 sat (uneto u 18:07), dok je vreme prvog postovanja u redu. Da li je jos neko primetio isto?

ES prikazuje različito vreme postovanja poruke u zavisnosti od vremenske zone u kojoj se korisnik nalazi (podatak koji se unosi prilikom registracije).
Međutim, podatak o vremenu izmene poruke se čuva u okviru same poruke kao običan text, pa se (kompromisno) prikazuje vreme po Griniču za sve (jer nema mogućnosti za drugačiji prikaz za korisnike u različitim vremenskim zonama).

Hvala. Lepo je pisalo...

Mogao bi mozda da im stavis restricted shell, ali i to opet moze da se zaobidje - pitanje je
koliko su "pametni" tvoji korisnici...

Ali ne znam ni sta oni pokrecu itd... tako da mozda ovo i nije dobro resenje...
Uglavnom restricted shell znaci sledece:

1. ne moze cd komanda da se koristi (ostaju u svom $HOME direktorijumu)
2. ne moze da se koriste komande sa "/" znakom (npr. ne moze /usr/bin/...)
3. ne moze se koristi "./".
4. ne moze da se unsetuje restricted komadom set

Ima li neko fino rešenje kako sprečiti izlazak iz CHROOT-a ako korisnici mogu da pokreću korisnički kompajlirane programe? Ono što mi pada na pamet jeste ukidanje dozvola upisa u direktorijume/datoteke kako ne bi mogao da se promeni radni direktorijum ali to nema puno logike (šta će im onda shell). Ima li neko ideju?

Grsecurity resava problem raznim ogranicenjima koje namece chroot-ovanim procesima, izmedju ostalih zabranjen je ponovni chroot() i automatski se sprovodi chdir("/") po chroot() pozivu.

Mozda ce ti biti zanimljivo i korisno da procitas:

http://www.bpfh.net/simes/computing/chroot-break.html
http://www.gentoo.org/proj/en/hardened/grsecurity.xml
http://www.securityfocus.com/infocus/1551

Stavi:

chmod 6750 svaki od tih home direktorijuma
chgrp -R apache /home/*