 |
Бесплатные PHP скрипты - форум техподдержки |
Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!
|
| Сегодня: 10.12.2025 - 09:33:44
Помогите с настройкой форума| Объявление - WR-Scriptы в UTF-8 кодировке |
|---|
Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.
На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Планирую продолжить работы весь 2026 год.
|
| Автор | Сообщение |
|---|
Maksir •
M Участник форума
|
Цитата: | С какой такой радости будет, если она работает с правами nobody:nobody? |
На серверах не ставят таких настроек, к вашему сведению.
Цитата:| Зачем, у меня этих книг итак навалом. |
Цитата: Ооо.. За две недели вы наконец умудрились закрыть к нему доступ. "Оперативно" однако работаете. Только знаете, если вам хостер дал доступ к серверу с правами владельца - хреновый он хостер.
|
я вообще не ожидал услышать такой ответ... Как вы можете это объяснить?
Вы сами правите права на сервере, типа 640 и 755 где как... и советуете это делать другим. Значит, вам Хостер позволяет это делать, а мне не должен?
Как с вами вести речь, если вы не понимаете о чем говорите. Мне больше всего беспокоет, что вы остальным советуете на этом форуме.
Я не могу менять имя Владельца и Группу на файлы. И вы тоже не можете. Хостер наделяет всех своих пользователей менять только права на доступ в своём домашнем каталоге (http) Сервере выделил и дал права на запись. Но менять Владельца вы не можете и я не могу. Менять права на доступ мы с вами можем. Дело всё в том, что Сервер у Хостера работает от имени Вашего Владельца - права которые вам дадены (Все остальные здесь не нужны!)
Права для "Все остальные" - они выполняют чтение из файла в обход сценария (как и многое другое), - сценарий, который вы создаёте на сервере!!! Я вам это продемонстрировал.
Словом, если бы это был файл с паролями и имел доступ 644 я бы без труда прочитал бы весь этот файл. Но, с правами 640 этот файл работал бы так же по сценарию, но прочесть его в обход всех правил вашего скрипта мне бы неудалось.
Я вот по какому поводу бъю тревогу;
Цитата: config.php - файл с конфигурационными данными;
644 / 666*
всем файлам в папке "data" (кроме .htaccess);
|
Это значит, что теоретически существует доступ на чтение и даже запись к этим файлам. И ссылки, которые Вы мне дали, там об этом написанно, -- что существует угроза. А вот какая угроза, Вы и не видите...
http://www.jino.ru/support/faq/php.html
Пункт - Как запустить PHP в режиме CGI?
Я, как пользователь Linux, вижу в этих настройках прав потенциальную опасность. Вы - нет. И, конечно же, понятия не имете о чём там говорится.
Цитата: Ха, это вам тогда придется доказывать почему этот файл вдруг перестал читаться, хотя согластно тому, что вы мне понаписали до этого, он должен был читаться.
|
Ну и почему же он всё-таки читается? Права выставлены -> 600
-> Бегущая строка работает, а прочесть файл, в котором прописанна эта строка, вы не можете!
Наверное, это у меня Сервер всё-таки под root работает... 
Цитата:| Отлично. Осталось теперь разобраться почему 755 а не 700 к примеру. |
Что отлично то? я же написал, что к теме это не относится!
Там правильно всё, --- rwx r-x r-x 0755 Это те же права, что и 755
Просто, это для Вас нет разницы...
Цитата:| 755 это права на чтение и выполнение для всех. Учите матчасть. |
Я тут с вами согласен.
Вы дебил, если лезите с такими предъявами!
Цитата:| Стики-бит (t) означает что файл может удалить только его владелец |
Я так и написал. Просто, вы не дочитали мой пост до конца.
А там написанно, что в старых системах Unix, это значение имело и ещё один характер.
У Вас, просто, что-то с опытом в 10 лет - что-то тут не сходится...
Вы, - ТРЕПАЧ! и аватар вам очень идёт.
И вообще, какая разница, использую я сервер, или домашний компьютер с ОС Linux, - права там работают одинакого для всех. То есть, В домашней директории каталога (в данном случае у хостера этот каталог http ) Вы можете менять права на файлы, это придусмотренно в любой системе *nix. -> НО вы не можете менять Владельца и Группу!
Мне ненужен 10-летний стаж опыта, что бы проверить это. Я не трепло, как Вы, rootman.
Так же, нет никакой разницы между Unix и ArchLinux , что бы проверить эти права на работоспособность. Важно лишь одно, - коретны эти права, или нет. Если всё правильно, то всё работает.
я не с кем не буду спорить по этому поводу. У меня эти права работают также, как и на Хостере 1gb.ru И это совершенно ясно почему. Мне непонятны Ваши волнения по этому поводу... У Вас, по-моему, самооценка завышена на 10 лет вперёд... | |
|
| Сообщение # 79 |
25.04.08 - 17:03:40
|  |
Олег •
О гость
|
Включаю задействовать АНТИСПАМ / длина кода. На сайте http://oleg.ex6.ru/for/forum/index.php нет кода для ввода при добавления сообщений. Как его настроить. Версию скачивал с сайта Powered by WR-Forum © 1.8M
У Вас на сайте в участники нет иконок. Я их отдельно скачивал. На личное сообщение участников пишет нет данных хотя мой п/я указан. | |
|
| Сообщение # 80 |
27.04.08 - 18:16:34
| |
Rootman •
R гость
|
Цитата: На серверах не ставят таких настроек, к вашему сведению.
|
На нормальных серверах ставят именно такие настройки.
Цитата:| Вы сами правите права на сервере, типа 640 и 755 где как... и советуете это делать другим. Значит, вам Хостер позволяет это делать, а мне не должен? |
Я говорю, если ваш хостер запустил для вас сервер с правами, отличными от nobody, а конкретно под вашим именем, дав вам тем самым полные права на управление - хреновый он хостер. И не надо делать вид будто бы вы не поняли о чем была речь.
Цитата: Как с вами вести речь, если вы не понимаете о чем говорите. Мне больше всего беспокоет, что вы остальным советуете на этом форуме.
|
Ой, не смешите. Ничего вас не беспокоит, кроме защиты своих взглядов. Вы хоть кому-нибудь здесь на форуме вообще помогли? Беспокоят его мои советы блин.
Цитата: Это значит, что теоретически существует доступ на чтение и даже запись к этим файлам. И ссылки, которые Вы мне дали, там об этом написанно, -- что существует угроза. А вот какая угроза, Вы и не видите...
http://www.jino.ru/support/faq/php.html
Пункт - Как запустить PHP в режиме CGI?
Я, как пользователь Linux, вижу в этих настройках прав потенциальную опасность. Вы - нет. И, конечно же, понятия не имете о чём там говорится.
|
Права на запись для файла и каталога, это в любом случае потенциальная угроза, пора-бы вам это понять.
Цитата: Ну и почему же он всё-таки читается? Права выставлены -> 600
-> Бегущая строка работает, а прочесть файл, в котором прописанна эта строка, вы не можете!
Наверное, это у меня Сервер всё-таки под root работает... |
Откуда мне знать, под чем там у вас сервер работает. Ну а насчет остального я уже говорил, если вам хостер дает доступ к серверу с правами вледельца - хреновый он хостер. Ибо в случае дырки в скрипте любой "кулхакер" сможет управлять вашим серваком как полноправный его владелец.
Цитата: Что отлично то? я же написал, что к теме это не относится!
Там правильно всё, --- rwx r-x r-x 0755 Это те же права, что и 755
Просто, это для Вас нет разницы... |
Это для вас нет разницы. Вы же утверждаете что права "для всех остальных" на сервере якобы не нужны, а судя по тем FAQ, которые я приводил это не так.
Цитата: Я так и написал. Просто, вы не дочитали мой пост до конца.
А там написанно, что в старых системах Unix, это значение имело и ещё один характер.
|
Ага, в первых версиях Юникса семидесятых годов. В Линуксе-же они были всегда. Кстати, а вы знаете что Линукс это вообще не Юникс? У вас сплошная путаница в голове.
Цитата: Вы, - ТРЕПАЧ! и аватар вам очень идёт.
|
Кто-бы говорил. Сравните размер своих сообщений с моими.
Цитата: Так же, нет никакой разницы между Unix и ArchLinux , что бы проверить эти права на работоспособность. Важно лишь одно, - коретны эти права, или нет. Если всё правильно, то всё работает.
|
Ну-ну. Правда Линукс это не Юникс, но вам конечно-же все без разницы.
Цитата:| Мне непонятны Ваши волнения по этому поводу... У Вас, по-моему, самооценка завышена на 10 лет вперёд... |
Вам-то какое до этого дело, что у меня там завышено? Не вам об этом судить. | |
|
| Сообщение # 81 |
28.04.08 - 06:09:35
| |
Maksir •
M Участник форума
|
Цитата: | На нормальных серверах ставят именно такие настройки. |
Заканчивай с этими шутками. Выход здесь такой -> Пользователя можно прописать в Группу, для которой отведён доступ Сервера. Иными словами, Владелец может быть любой, так же как и Группа. Просто, подразумевается заранее отведённые права для Групп и Владельцев на хостинге.
В *nix системах, каждый файл создаётся от имени однго лишь процесса, который является родителем. (у которого есть право на это) Когда ты закачиваешь файл через ftp с авторизацией, то речь идёт о пользователе, который реально там существует на сервере. Значит и все файл должны быть с правами этого Владельца и его Группой.
(Права Владельца и его Группы работают сразу же, после того как произошло копирование на сервер ftp)
Проверить эти права можно обычным способом прямо на сервере.
Права nobody:nobody нужны тогда, когда настройки сервера, или какой-то программы пока неопределены.
Настроить службы нужным образом, чтобы только выделеные службы могли бы оперировать с файлами на сервере, это задача хорошего хостера. Это как раз то, что отличает Unix, от Wibdows.
Цитата: Ой, не смешите. Ничего вас не беспокоит, кроме защиты своих взглядов. Вы хоть кому-нибудь здесь на форуме вообще помогли? Беспокоят его мои советы блин.
|
Ну ты и вонючка... я давно на этом форуме и Михаила знаю.
Цитата:| Права на запись для файла и каталога, это в любом случае потенциальная угроза, пора-бы вам это понять. |
а я тебе о чем? права Для всех убери нафига они тебе на чтение на сервере?
Цитата:| Откуда мне знать, под чем там у вас сервер работает. Ну а насчет остального я уже говорил, если вам хостер дает доступ к серверу с правами вледельца - хреновый он хостер. |
Ты лучший! ты просто опуппенный хостер!! (только, как профи работаешь на Win) а в остальном ты лучший! гениальный админ!
Цитата:| Вы же утверждаете что права "для всех остальных" на сервере якобы не нужны, а судя по тем FAQ, которые я приводил это не так |
Зайди в любой магазин по компам, тебе там супер-специалисты ещё и не такой малины наплетут..
Вот пример к сведению, - у моего брата Macintosh. звонит он в службу, как бы на счёт сети. мол сеть пропала, где сеть... Ему отвечают такие же кулхацкеры, такие же твердолобые пеньки (админы) вроде тебя, что в сети вирус, который атакует компы и сеть пропадает. Брательник говорит, что неможет быть.. у него MacOS. Но ему твердят, что - а почему бы и нет.. Ну, трудно было предположить, почему этот вирус атакует компы, но должен обязательно обламаться с ситуацией, когда в данном случае речь идёт о MacOS
Вот так же упорно и упрямо продолжаешь пороть ерунду и ты.
А ответ весь в простом - в Unix всё работает на основе определённых прав. Здесь всё очень жёстко. И если что-то не работает, то "раздвигать права" до уровня "Кто угодно" совершенно ненужно. Нужно, просто, всё грамотно настроить. Потому что только от имени Демонов (служб), или, точнее, - от имени одного Процесса всё управляется в системме. Есть такое понятие в среде Unix - дерево процессов. Есть родитель и дочерние, которые определяют весь ход и никто, кроме root, этот процесс не межет отменить. Здесь всё происходит динамически - и другие процессы не могут влиять на процессы, которые главнее, приоритетнее, чем тот Владелец, который запустил процесс.
В Windows, все процессы выполняются от имени Администратора, по этому там нет такой динамики и правами на файлы и каталоги управлять очень легко. По этому вирусы могут перехватить любой процесс.
Цитата:| Ну-ну. Правда Линукс это не Юникс, но вам конечно-же все без разницы. |
Есть разновидности Unix, называются они Linux. Есть разные разработчики которые пытаются сделать свой Linux более уютнее, чем другие. Но, за основу берётся именно Unix. Разница лишь в том, насколько в этом процессе Операционная Система Unix претерпевает изменений. Так вот, в ArchLinux, все эти изменения подведены к минимуму. Но, Linux, это не Unix, да, это действительно так. | |
|
| Сообщение # 82 |
30.04.08 - 18:11:33
| |
Shurik2975 •
S гость
|
Привет всем.Подскажите плиз как можно если неубрать то хотябы изменить в скрипте раздел ТЭСТОВЫЙ чтот я немогу найти, ато както некрасиво ТЭСТОВЫЙ как вроде бы не реальный. | |
|
| Сообщение # 83 |
02.05.08 - 01:07:36
| |
Rootman •
R гость
|
Цитата: Заканчивай с этими шутками. Выход здесь такой -> Пользователя можно прописать в Группу, для которой отведён доступ Сервера. Иными словами, Владелец может быть любой, так же как и Группа. Просто, подразумевается заранее отведённые права для Групп и Владельцев на хостинге.
|
Можно что угодно поставить, кто-же спорит. Только вы подумайте а на кой черт это надо? Тем более что это лишнюю потенциальную дыру для взломщика создает.
Цитата: Права nobody:nobody нужны тогда, когда настройки сервера, или какой-то программы пока неопределены.
|
Права nobody нужны чтобы сервер не работал и не выполнял файлы с правами их владельца а имел к ним доступ только как "все остальные", иначе повторяю - любая дырка в скрипте и взломщик получит полный доступ ко всему сайту как владелец, а такого быть не должно. Когде-же вы это наконец поймете. В том же случае, о котором я говорю, взломщик может получить доступ лишь к файлам, доступным для записи. Изменить или удалить остальные файлы он обломится.
Цитата: а я тебе о чем? права Для всех убери нафига они тебе на чтение на сервере?
|
Ну собственно чтобы файл прочитать.
Цитата:| Ты лучший! ты просто опуппенный хостер!! (только, как профи работаешь на Win) а в остальном ты лучший! гениальный админ! |
Спасибо, я знаю что я хороший админ.
Цитата:| Вот пример к сведению, - у моего брата Macintosh. звонит он в службу, как бы на счёт сети. мол сеть пропала, где сеть... Ему отвечают такие же кулхацкеры, такие же твердолобые пеньки (админы) вроде тебя, что в сети вирус, который атакует компы и сеть пропадает. Брательник говорит, что неможет быть.. у него MacOS. Но ему твердят, что - а почему бы и нет.. |
И совершенно правильно ему твердят. Сетевой вирус, рассылая по сети тысячи своих копий, способен этим трафиком повесить напрочь всю сеть. И любой админ, кому хоть раз лично приходилось иметь дело с вирусными эпидемиями сетевых червей это подтвердит. Ваш брат прав лишь в том, что MacOS здесь не причем.
Цитата:| А ответ весь в простом - в Unix всё работает на основе определённых прав. Здесь всё очень жёстко. И если что-то не работает, то "раздвигать права" до уровня "Кто угодно" совершенно ненужно. Нужно, просто, всё грамотно настроить. |
Еще раз повторяю: не судите только по себе. Если вам не нужно, это не значит что не нужно всем остальным. И лучше еще раз призадумайтесь над тем, почему бесплатные хостеры, вопреки вашим утверждениям поступают иначе. Вы же, надеюсь, не считаете себя умнее всех хостеров? Я же вам обьяснил почему они так делают.
Цитата:| Есть разновидности Unix, называются они Linux. |
Нет разновидности Юникс под названием Линукс, есть Юникс-подобная и Юникс-совместимая операционка под названием Линукс. Поинтересуйтесь на досуге что означает аббревиатура GNU и все станет ясно.
| |
|
| Сообщение # 84 |
04.05.08 - 11:10:24
| |
Maksir •
M Участник форума
|
Цитата: Можно что угодно поставить, кто-же спорит. Только вы подумайте а на кой черт это надо? Тем более что это лишнюю потенциальную дыру для взломщика создает.
|
В Unix пользователи создаются от root и все настройки с доступом уже там есть. На хостере, домашние каталоги пользователей прописываются автоматически. Сам хостер - root, определяет все права и виртуальное пространство под хост. Это всё настройки, грубо говоря - настроенный хостинг-сервер.
Так что, от настроек сервера всё зависит. А на своём выделенном сервере Вы можете делать всё, что захотите. Даже если у вас там будет злой вирус, он не сможет повлиять на работу Хостера, поскольку, -> ваши запущенные процессы от имени рядового пользователя имеют ограничения. Это всё обусловленно нетолько самим Хостером, но и самой системой Unix. Это принципельное назначение всех этих настроек.
Цитата:| Еще раз повторяю: не судите только по себе. Если вам не нужно, это не значит что не нужно всем остальным. И лучше еще раз призадумайтесь над тем, почему бесплатные хостеры, вопреки вашим утверждениям поступают иначе. |
И хто Вам сказал, что 1gb.ru бесплатный Хостер??? (бред)
И что значит судить по себе? У меня две операционные системмы, по которым я могу судить. Это, та, что у меня (которую я могу как угодно вертеть), и та, которая на 1gb.ru , к которой я никакого влияния не имею. И потом, есть определённо явная разница между Windows и Unix системами. Я вам про динамику настроек, вы мне какой-то бред... Я же утверждаю, что права 755 на сервере ненужны. Если конкретно, - права "Для всех остальных", то есть для тех, которых нет в системе. Это чисто теоретически - запуск процесса от имени несуществующего пользователя. Это нормально в Windows, но, это ненормально в среде Unix. Есть понятия, сложной пока для Вас динамики прав и запуск процессов. -> Сервер на площадке Unix может обойтись без прав "Для всех", потому что есть правило, по которому выполняются все процессы в этой среде. (никакая служба/программа - любой заупщеный процесс, от имени рядового пользователя, не может перехватить, или повлиять на Родительский процесс) И назначение прав "Для всех", это всего лишь дополнение, которое необходимо при работе только с личными документами (файлами). Эти права не влияют на работу сервера, а только создают потенцеальную опасность.
Любая служба/программа, - в данном случае сервер httpd, запущенный от пользователя root, смотрит в приоритете прав - 1 Владелец (имеет ли он право), потом - 2 Группа (назначенны ли этой группе права владельца и т.п...) А уж потом только - 3 "Все остальные" (разрешил ли Владелец для Всех других просматривать файл с паролями в обход зарегестрированных в системе для этих операций специальных служебных сценариев?) И только такой админ, как Вы, выставите такие права Для всех.
Михаил, в таком случае, поставил в начале файла функцию - die(); , что бы интропретатор PHP закрыл Для всех просмотр этого файла в обход сценария. И я, хочу заметить, что это ошибка. В этом случае лучше всего закрыть права "Для всех" традиционным способом.
Shurik2975 ссылку дайте. Не посмотреть, о чем речь, собственно. | |
|
| Сообщение # 85 |
04.05.08 - 15:36:06
| |
Rootman •
R гость
|
Цитата: | В Unix пользователи создаются от root и все настройки с доступом уже там есть. На хостере, домашние каталоги пользователей прописываются автоматически. Сам хостер - root, определяет все права и виртуальное пространство под хост. Это всё настройки, грубо говоря - настроенный хостинг-сервер. |
Ну я и говорю, поставить можно как угодно, другое дело, будет-ли это безопасно. Предлагаемый вами вариант не совсем безопасен, через nobody будет безопаснее.
Цитата: И хто Вам сказал, что 1gb.ru бесплатный Хостер??? (бред)
|
Я бы и на платном не стал давать юзерам возможности выполнять скрипты как вледелец. Жирно это и небезопасно. Выше писал почему.
Цитата:| Я вам про динамику настроек, вы мне какой-то бред... Я же утверждаю, что права 755 на сервере ненужны. Если конкретно, - права "Для всех остальных", то есть для тех, которых нет в системе. |
Опять по себе судите. В следющий раз когда будете утверждать что-либо подобное лучше сразу пишите "Я же утверждаю, что права 755 на сервере МНЕ ненужны.", а то опять получается что за всех говорите. Я вам показал что на известных бесплатных хостингах - нужны. И причины указал зачем нужны а вы мне все упорно про свой случай рассказываете, игнорируя все остальные. Если все так, как вы утверждаете, может обьясните зачем тогда вообще в Линуксе нужны права "Для всех остальных"? Убрать их как ненужную вещь и всего делов. Однако что-то никто не торопится это делать.
Цитата:| Это нормально в Windows, но, это ненормально в среде Unix. |
Да ладно вам про Виндовс, у нее тоже каждый процесс под своим именем работает, посмотрите в диспетчере задач.
Цитата:| Сервер на площадке Unix может обойтись без прав "Для всех", потому что есть правило, по которому выполняются все процессы в этой среде. |
Может, да только почему-то мало кто это использует. Наоброт, в любом дистрибутиве про файлы, которым требуются права на запись указываются атрибуты 666 и 777 для каталогов.
Да вот, к примеру, возьмем известный скрипт phpBB. Вы же не считаете его разработчиков глупцами? Однако читаем README:
Change the permissions on config.php to be writeable by all (666 or -rw-rw-rw- within your FTP Client)
И далее:
Change the permissions on config.php to be writeable only by yourself (644 or -rw-r--r-- within your FTP Client)
Обратите внимание, аттрибут "чтение для всех" по-прежднему стоит, никто не обирается его убирать.
Одного примера хватит, или надо еще?
Цитата: Эти права не влияют на работу сервера, а только создают потенцеальную опасность.
Любая служба/программа, - в данном случае сервер httpd, запущенный от пользователя root, смотрит в приоритете прав - 1 Владелец (имеет ли он право), потом - 2 Группа (назначенны ли этой группе права владельца и т.п...) |
Сколько-же можно говорить одно и тоже. Не обслуживает httpd пользователей под рутом, а под тем владельцем/группой, что заданы в него в настройках в опциях User, Group
Вы наверное понять не можете, как это так, запускается сервак из под рута, а пользователей под другими правами обслуживает, так я вам обьясню.
Базовый процесс действительно запускается и работает под рутом, но когда происходит запрос, процесс выполняет вызов fork, создавая свой клон. Клон в свою очередь (он тоже еще под рутом) в соответствии с заданными опциями User, Group меняет свои права с администраторских на указаные и лишь затем начинает обрабатывать запросы и читать файлы. Причем этих клонов запускается несколько, их количество так же задается через конфиг, по умолчанию если не ошибаюсь их 5 штук.
Если-же вам совсем приспичило, могу привести кусок исходника на Си, где он этот fork делает.
Цитата: Михаил, в таком случае, поставил в начале файла функцию - die(); , что бы интропретатор PHP закрыл Для всех просмотр этого файла в обход сценария. И я, хочу заметить, что это ошибка. В этом случае лучше всего закрыть права "Для всех" традиционным способом.
|
Если закроете права "Для всех", многие сервера вообще не смогут прочесть файл. Михаил совершенно правильно сделал, поскольку в этом случае файл будет работать на всех серверах, независимо от того, какие у них настроены права доступа . | |
|
| Сообщение # 86 |
05.05.08 - 06:14:25
| |
Maksir •
M Участник форума
|
Цитата: Ну я и говорю, поставить можно как угодно, другое дело, будет-ли это безопасно. Предлагаемый вами вариант не совсем безопасен, через nobody будет безопаснее.
|
Предлогаемый мною вариант, безопасен уже с той точки зрения, что количество потенциальных "Владельцев" на файл сузился благодаря настройкам 640.
Сервер выполняет запросы со стороны любого пользователя. Сервер httpd сам выполняет сценарии от имени любой Группы и Владельца. "Все остальные" ему не нужны. Сервер настроен и запущен от пользователя root .
Цитата: Я бы и на платном не стал давать юзерам возможности выполнять скрипты как вледелец. Жирно это и небезопасно. Выше писал почему.
|
А вас никто не спрашивает.
Владелец волен делать что угодно в своём домашнем каталоге. Он не может своими правами повлиять на работу сервера.
Если бы у вас небыло бы этих прав, вы бы не смогли заходить на ftp со своим логином и паролем, по причине, что Вас нет в системме. Когда Вы регестрируетесь, то root заводит на вас учётную запись. Даёт Вам ключи - логин и пароль. Ваши права на сервере уже определены. В системме Unix, под вашим логином создаётся домашняя директория для сайта, куда все конфиги для вас уже прописаны. Никто ничего не копирует и не заморачивается. Системма сама создаёт каталог по-умолчанию, как только заводится новый пользователь.
Цитата:| Опять по себе судите. В следющий раз когда будете утверждать что-либо подобное лучше сразу пишите "Я же утверждаю, что права 755 на сервере МНЕ ненужны.", |
Я не говорю за всех, а говорю как есть. Если для Вас разницы в этих правах несуществует, то это Ваши проблемы и нечего ко мне приператься. Пишу, что думаю. А думаю я очень часто. И когда я пишу, то сверяюсь с книгой по Unix, потому что я не Штирлец, что бы всё помнить. Если где-то не прав, я говорю, - да, я тут бал лишку. (такое уже было) Я же вам даю ссылку на источники по Unix, потому что мне вам не продемонстровать книжку по основам. Вы же опять с этими основами ко мне лезите... Я Вам говорю, - google и параметр для поиска - chmod - Нефиг тут чушь нести. Надоели уже!
Цитата:| Да ладно вам про Виндовс, у нее тоже каждый процесс под своим именем работает, посмотрите в диспетчере задач. |
И вирусы в одной линейке работают с этими процессами...
Я Вам про динамические настройки в Unix, а Вы мне про вечную проблему Windows... Да если бы у Windows хотя бы что-то работало по такому принципу, никаких бы широких проблем с безопасностью не было бы.
Я смотрю, Вам про динамику настроек в Unix бесполезно объяснять. У вас же всё одним цветом мазанно, что Win, или Unix - безразницы... И админ вы такой же. Как дадите на всех и всё одни и те же права, так и работает всё через ж...
Цитата:| Может, да только почему-то мало кто это использует. Наоброт, в любом дистрибутиве про файлы, которым требуются права на запись указываются атрибуты 666 и 777 для каталогов. |
Вы говорили, что у Вас 10 лет стаж опыта работы в среде Unix. Я уже не сомневаюсь, что это просто трёп малолетнего. Вы мне скажите, - где в *nix системах Вы видели файлы с правами 777 ? Может, они нужны для Вашего навароченного сайта, а для такой скромненькой системмы, как Unix, они ненужны, по этому и не используются.
Да уж, наврное, для такой сложной динамики и сложных алгоритмов на Вашем сайте, без специальных прав 777 ну никак не обойтись! пипец! Unix отдыхает!
| |
|
| Сообщение # 87 |
05.05.08 - 14:45:38
| |
Maksir •
M Участник форума
|
Цитата:
| Сколько-же можно говорить одно и тоже. Не обслуживает httpd пользователей под рутом |
Где root? В слове "Владелец"? Ну... да... это нормально для админа с 10 летним стажем опыта в среде Unix...
Цитата: Вы наверное понять не можете, как это так, запускается сервак из под рута, а пользователей под другими правами обслуживает, так я вам обьясню.
Базовый процесс действительно запускается и работает под рутом |
Значит Вы со мной согласны всё-таки хоть в чем-то.
Я же Вам писал, как я запускаю сервер из под root ... или вы меня не поняли?
А про родительские процессы?
Меня сейчас мало интересует, как там польлзователь работает. Важно что "Все остальные", для его помощи ненужны!
Цитата:| Если закроете права "Для всех", многие сервера вообще не смогут прочесть файл. |
Какие например? Те, которые неправильные сервера?
я же говорю - им не место в рунете вообще!
Если такому серверу нужны такие права, то кто угодно может написать или воспользоваться специальной программой, что бы взять данные из конкретного файла на этом сервере.
Права для "Все остальные", это всего лишь дополнение. Они ненужны. Сервер сам разберётся, что ему делать. Только сервер должен решать, - показывать файл, или нет. "Все остальные" здесь вообще ни при чем!
Права для "Все остальные" в какталоге вашего сервера нужно обязательно закрывать.
Пример: 777 => 770, 666 => 660
что бы не ломать голову, можно использовать одни и те же права для всех файлов 640. Это права определяют - 1) "6" - чтение и запись - для Владельца 2) "4" чтение - для Группы 3) "0" - права для всех закрыты. Это последний числитель, он существует для определения "Все кто неучтены в системме". Попросту - служит для обхода всех существующих правил для Владельцев и Групп, которые определены в системе. Эти "Все остальные", служат дополнением, но для них так же можно определить, что эти "Все, кто угодно", могут (4) читать, (2) записывать/модифицировать (1) выполнять/поиск. Вместе 4+2+1=7 И все эти правы для локальных служб Сервера, или системмы. Системма Unix определяет, какие файлы можно читать и кому. Cервер httpd действует по такому же принципу. | |
|
| Сообщение # 88 |
05.05.08 - 14:46:09
| |
Rootman •
R гость
|
Цитата: Предлогаемый мною вариант, безопасен уже с той точки зрения, что количество потенциальных "Владельцев" на файл сузился благодаря настройкам 640.
|
Если вы будете относить юзеров к той же группе, под который работает сервер (а вы как я понял это предлагали), то ваш вариант по сути мало чем будет отличаться от моего ведь группа-то у всех одна. Я понимаю что вы задались целью впринципе избавиться от аттрибута "для всех остальных", ну как говориться и флаг в руки, мне лично эта мозготрепка не нужна. И судя по FAQ - большинству хостеров тоже не нужна.
Цитата: Сервер httpd сам выполняет сценарии от имени любой Группы и Владельца. "Все остальные" ему не нужны. Сервер настроен и запущен от пользователя root .
|
На какую настроите, от такой и будет выполнять. Если специально не использовать режим suexec, но это дыра еще большая, чем ваш вариант.
Цитата: Владелец волен делать что угодно в своём домашнем каталоге. Он не может своими правами повлиять на работу сервера.
|
Еще как может, если сервер запущен с его-же именем и группой. Ведь как владелец он может управлять всем и программами, работющими под его именем.
Цитата:| Если бы у вас небыло бы этих прав, вы бы не смогли заходить на ftp со своим логином и паролем, по причине, что Вас нет в системме. |
Обясняю, как это положено делать.
1. Сервер работает под nobody:nobody
2. Создается новый юзер vasya:users, в качестве шелла ему ставится /dev/null (чтобы не было шелла). При создании юзера ему автоматом будет создан домашний каталог.
3. Права ставят 755. Тем самым никто кроме владельца ничего в этот каталог записать не сможет, только если владелец с%E | |
|
| Сообщение # 89 |
06.05.08 - 06:31:44
| |
Rootman •
R гость
|
Цитата: Предлогаемый мною вариант, безопасен уже с той точки зрения, что количество потенциальных "Владельцев" на файл сузился благодаря настройкам 640.
|
Если вы будете относить юзеров к той же группе, под который работает сервер (а вы как я понял это предлагали), то ваш вариант по сути мало чем будет отличаться от моего ведь группа-то у всех одна. Я понимаю что вы задались целью впринципе избавиться от аттрибута "для всех остальных", ну как говориться и флаг в руки, мне лично эта мозготрепка не нужна. И судя по FAQ - большинству хостеров тоже не нужна.
Цитата: Сервер httpd сам выполняет сценарии от имени любой Группы и Владельца. "Все остальные" ему не нужны. Сервер настроен и запущен от пользователя root .
|
На какую настроите, от такой и будет выполнять. Если специально не использовать режим suexec, но это дыра еще большая, чем ваш вариант.
Цитата: Владелец волен делать что угодно в своём домашнем каталоге. Он не может своими правами повлиять на работу сервера.
|
Еще как может, если сервер запущен с его-же именем и группой. Ведь как владелец он может управлять всем и программами, работющими под его именем.
Цитата:| Если бы у вас небыло бы этих прав, вы бы не смогли заходить на ftp со своим логином и паролем, по причине, что Вас нет в системме. |
Обясняю, как это положено делать.
1. Сервер работает под nobody:nobody
2. Создается новый юзер vasya:users, в качестве шелла ему ставится /dev/null (чтобы не было шелла). При создании юзера ему автоматом будет создан домашний каталог.
3. Права ставят 755. Тем самым никто кроме владельца ничего в этот каталог записать не сможет, только если владелец сам не даст доступа на запись. Сервер тоже не сможет, поскольку у него владелец и группа другие. Соот. запись данных скриптам дается только через "все остальные". Любая другая установка аттрибутов исключает доступ на запись для скриптов на сервере, и если сайт будет взломан - злоумышленник может получить доступ на запись только к файлам с аттрибутами "запись для всех остальных", никаких других файлов он изменить/удалить не сможет. А в предлагаемом вами варианте он сможет делать с файлами все что угодно.
Цитата:| Я не говорю за всех, а говорю как есть. Если для Вас разницы в этих правах несуществует, то это Ваши проблемы и нечего ко мне приператься. |
Да нет, только за себя говорите. За всех я вам сказал, приведя FAQ.
Цитата:| Да если бы у Windows хотя бы что-то работало по такому принципу, никаких бы широких проблем с безопасностью не было бы. |
Речь не о безопасности а о правах доступа. Уж не хотите-ли вы сказать что в Линуксе нет никаких проблем с безопасностью? На самом деле Линукс весьма просто поломать. При загрузке системы, когда появится окно загрузчика Lilo, можно указать файл, загружаемый вместо init, например /bin/bash и результат - вы попадете в консоль с правами админа. Вот и весь "взлом".
Цитата: Вы мне скажите, - где в *nix системах Вы видели файлы с правами 777 ? Может, они нужны для Вашего навароченного сайта, а для такой скромненькой системмы, как Unix, они ненужны, по этому и не используются.
|
Где говорите видел? Например:
1. В каталоге /tmp
2. Каталоге /var/tmp
А как иначе, ведь там временные файлы хранятся, поэтому запись должна быть разрешена для всех без исключения.
Цитата: Меня сейчас мало интересует, как там польлзователь работает. Важно что "Все остальные", для его помощи ненужны!
|
Вот поэтому и понять меня не можете, поскольку не интересуют вас эти вопросы. Иначе поняли-бы наконец о чем речь.
Цитата: Какие например? Те, которые неправильные сервера?
я же говорю - им не место в рунете вообще!
|
Ну да, в рунете место хостерам, позволяющих с помоью дырок в скрипте менять и уничтожать нафиг все существующие файле на сайте, а не только доступные для записи. Жжете однако.
Цитата: Если такому серверу нужны такие права, то кто угодно может написать или воспользоваться специальной программой, что бы взять данные из конкретного файла на этом сервере.
|
В вашем случае тем более будет тоже самое, хоть вы права 400 поставьте, ведь сервер-то у вас работает в правами того же владельца что и загруженный на него файл.
Цитата:| Права для "Все остальные", это всего лишь дополнение. Они ненужны. |
Если не нужны, почему же они тогда все еще существуют в Линукс и Юникс?
| |
|
| Сообщение # 90 |
06.05.08 - 06:31:46
| |
Maksir •
M Участник форума
|
Цитата: | Если вы будете относить юзеров к той же группе, под который работает сервер (а вы как я понял это предлагали), то ваш вариант по сути мало чем будет отличаться от моего ведь группа-то у всех одна |
Нет. я извинился сразу (невнимательно прокоментировал). Но, всё равно, эти права работают, но только на локальном - личном сервере. Это касается вопроса только о том, что происходит с правами. На удалённом сервере, у Хостера, я не могу менять ни Владельца ни Группу, и это естественно в любой среде *nix.
Здесь не важно, как там работает Владелец и Группа. Мы видим, что в Win и *nix системмах, это происходит неодинаково, это первое.
Второе, "Все остальные", для работы сервера ненужны по определению, - потому что сам Сервер выполняет все функции и предоставляет доступ - но только это должно быть строго по сценарию, который мы пишим на PHP и определяем по свойствам системмы. "Все остальные" в этом спектакле - лишние. Владелец и Группа, они как бы - за кулисами всё решают с Сервером. А снаружи - народ. По этому, Сервер предоставляет доступ строго по сценарию.
И ещё, чтобы "не зраываться" - я имею ввиду только файлы, а не каталоги. Речь идёт только о файлах предназначеных для хранения секретной информации, которые должны передоваться строго по сценарию написанному на PHP.
Цитата:| 3. Права ставят 755. Тем самым никто кроме владельца ничего в этот каталог записать не сможет, только если владелец сам не даст доступа на запись. Сервер тоже не сможет, поскольку у него владелец и группа другие. |
Сервер запускается от root. А вы, обычный пользователь со своим каталогом для работы вашей странички на этом сервере, но вы не можете влиять на работу сервера.
Цитата:| злоумышленник может получить доступ на запись только к файлам с аттрибутами "запись для всех остальных", никаких других файлов он изменить/удалить не сможет. А в предлагаемом вами варианте он сможет делать с файлами все что угодно |
Это как?
Если в вашем варианте, злодей может прочитать файлы только те, которые определены для "Всех остальных". В моём варианте таких файлов и в помине нету, потому что я предлогаю их закрыть. Это как же так получается???
Цитата:| Линукс весьма просто поломать. При загрузке системы, когда появится окно загрузчика Lilo, можно указать файл, загружаемый вместо init, например /bin/bash и результат - вы попадете в консоль с правами админа. Вот и весь "взлом". |
Можно и не указывать. И это не взлом вовсе. Можно просто загрузиться с RIPLinux, с любой системмы загружаемой с диска, можно также и просто переподключить винчестеры на другом компьютере.
Я вам говорю, что в среде *nix нет вирусов, потому что так определена динамика прав и взаимодействия процессов. Были попытки написать вирусы, были проведены и удачные эксперименты, но, это единичные случаи, которые - были и уже вошли в историю.
И никто не отменял действовать против *nix системм. Если корпорации Microsoft выгодно показать некомпитентность других, и прорекламировать свои наработки, то они стараются из-зо всех сил. И вирус написать для этой цели, это тоже - оружее в руках конкурентов.
Так что, вирусами для любых системм будут заниматься все и всегда. Чем выше технологии, тем больше поле для сражения на этом рынке.
Но, только, в Unix/Linux/Mac нет таких проблем с безопасностью и никогда не будет, потому что работает слаженный механизм, проверенный временем.
Например: В космических программах используют именно Debian (а не Windows XP) понятно почему, да?  
Цитата:| Если не нужны, почему же они тогда все еще существуют в Линукс и Юникс |
Права "Все остальные", они нужны для локальной работы с файлами, по этому и существуют в системме. Например, есть служебные программы. Так же, программы запускаемые через эмулятор Windows, которым нужны отдельные права выставлять. Это Операционная системма, разные ситуации могут быть. Но, Операционная системма, это не Сервер, это к вашему сведению разные вещи. Linux не предоставляет доступ сам по себе. Для этих целей служат специальные программы с их протоколами, которые и установить, и отконфигурировать нужно вручную, и запустить. И все эти действия от имени лишь одного пользователя - root. А Windows использует всё сразу, как только попадает в сеть, или видит новую папку, или диск. Флэшку вставил и привет... пошёл нюхать что там лежит. И права там, Владельцы и Группы - не имеют никакого значения. Если там вирус, то он обязательно пропишит сам себя куда-нибудь поближе к кухне, и запускать будет сам себя от имени Билла Гейтца. | |
|
| Сообщение # 91 |
06.05.08 - 15:39:48
| |
|
Главная сайта