 |
Бесплатные PHP скрипты - форум техподдержки |
Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!
|
| Сегодня: 10.12.2025 - 10:41:11
Помогите с настройкой форума| Объявление - WR-Scriptы в UTF-8 кодировке |
|---|
Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.
На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Планирую продолжить работы весь 2026 год.
|
| Автор | Сообщение |
|---|
Rootman •
R гость
|
Цитата: | Второе, "Все остальные", для работы сервера ненужны по определению, - потому что сам Сервер выполняет все функции и предоставляет доступ - но только это должно быть строго по сценарию, который мы пишим на PHP и определяем по свойствам системмы. |
Обьясните это хостерам, которые требуют установки подобных прав. Еще раз спрашиваю, считаете себя умнее всех админов? Это при том, что я вам тысячу раз обьяснял зачем нужны такие права.
Цитата: Сервер запускается от root. А вы, обычный пользователь со своим каталогом для работы вашей странички на этом сервере, но вы не можете влиять на работу сервера.
|
От root он только запускается, а работает он с совсем другими правами. Теми, которые вы ему в конфиге пропишите. И если эти права совпадают с теми, под которыми работает скрипт я соотвественно как владелец могу управлять процессами сервера.
Цитата: Если в вашем варианте, злодей может прочитать файлы только те, которые определены для "Всех остальных". В моём варианте таких файлов и в помине нету, потому что я предлогаю их закрыть. Это как же так получается???
|
В вашем варианте злодей как владелец может не только прочитать любой файл, но и сделать с ним все что угодно. Ведь скрипты-то у вас работают с правами владельца.
Цитата:| Можно и не указывать. И это не взлом вовсе. Можно просто загрузиться с RIPLinux, с любой системмы загружаемой с диска, можно также и просто переподключить винчестеры на другом компьютере. |
Ну ничего себе не взлом, вход в систему с правами админа без ввода пароля. Как раз взлом, если я могу спокойненько подойти к серверу, перезагрузить его и сразу получить админские права.
Цитата: Но, только, в Unix/Linux/Mac нет таких проблем с безопасностью и никогда не будет, потому что работает слаженный механизм, проверенный временем.
Например: В космических программах используют именно Debian (а не Windows XP) понятно почему, да? |
Конечно понятно. Потому что американцам делать больше нечего. В таких вещах как космос используют строго специализированные встроенные системы типа QNX, но уж никак не Линукс. Да и откуда вы эти сведения вообще взяли? Меньше верите всякого рода пропаганде.
Цитата:| Права "Все остальные", они нужны для локальной работы с файлами, по этому и существуют в системме. Например, есть служебные программы. Так же, программы запускаемые через эмулятор Windows, которым нужны отдельные права выставлять. Это Операционная системма, разные ситуации могут быть. |
Ну вот пожалуйста httpd это тоже своего рода служебная программа, какие проблемы-то? Вот хостеры и указывают, какие права необходимы для нормальной работы сайта. 755 и 666
Цитата:| Linux не предоставляет доступ сам по себе. Для этих целей служат специальные программы с их протоколами, которые и установить, и отконфигурировать нужно вручную, и запустить. |
Доступ к файлам и к сети в Линуксе предоставляется на уровне ядра а не программ. Собственно сетевые протоколы они как раз и зашиты в ядро. За исключением разве что протокола SMB, впрочем для его работы тоже необходим несущий TCP/IP-протокол ядра.
Цитата:| А Windows использует всё сразу, как только попадает в сеть, или видит новую папку, или диск. Флэшку вставил и привет... пошёл нюхать что там лежит. |
О как. А про automount в Линуксе вы когда-нибудь слышали? Я понимаю что в вашем ArchLinux его может быть еще и нет, но в большинстве современных дистрибутивов он имеется.
Цитата:| И права там, Владельцы и Группы - не имеют никакого значения. Если там вирус, то он обязательно пропишит сам себя куда-нибудь поближе к кухне, и запускать будет сам себя от имени Билла Гейтца. |
Эта проблема связана не с владельцами и группами а с уязвимостью непосредственно программного обеспечения. Раз уж вы решили сравнивать безопасность систем, то и сравнивайте соответственно только системную часть. Ядро Винды и ядро Линукса к примеру, а то дырявого софта и под Линуксом можно откопать немало.
| |
|
| Сообщение # 92 |
12.05.08 - 06:22:40
|  |
Maksir •
M Участник форума
|
Цитата: | Еще раз спрашиваю, считаете себя умнее всех админов? |
Вы не спрашивали не разу. Это у вас нервное...
Спокойнее, rootman, я не считаю себя умнее всех. Именно по этому, у меня в руках книга на всякий случай. Но, если бы вы сами умели думать и размышлять, то наверняка бы поняли о чем я говорю. И в некотором подтексте внесли бы свою поправку. А так, как этого не произошло, и я вижу где я сам допустил ошибку, то это значит, что я умнее вас. (а может упрямее чем вы) Но, я вам объясню почему. Вы помните что я вам показывал эксперементально наглядный пример с правами 644 и 640 ? Так вот, здесь действует правило "динамический" и "статический" элимент/файл. Если мы берём файл через интропритатор PHP, то права на файл "Все остальные", они действительно ненужны. Но, если файл "статический", такой как index.html , то в этом случае обязательно нужны права для "Всех остальных". Увы, так устроен apache, что не является опасным с правами 644
Вот по этому, в многозначительных справках, вам рекомендуют права типа 755 и 644. Но, что неприемлемо для динамически-меняющихся файлов.
я не считаю себя умнее других. Но, Вы мне не оставляете выбора, поскольку, не разу не привели ни одного убедительного и рассудительного ответа. Кто должен за вас думать, если вы админ? Справочный материал, который пишут такие же люди, как вы?
Вы не разу не предоставили мне никаких серъёзных причин, кроме тех, что у вас - авторы phpBB - это авторитет и их решения для вас - аксиома.... Почему я должен думать так, а не иначе?
По этому я вам и говорю, что вы - пустомеля! Вы говорите бред... Это значит, что в ваших словах нет никакой смысловой значимости.
я, не предусмотрел разницу динамически меняющихся сценариев и простых, обычных статических файлов html. Вы, утверждаете, что права "Для всех" нужны, но выходит, что - сами не знаете, или "не сечёте", - почему они нужны... ссылаетесь на FAQ хостеров. Вы, как админ, должны думать за всех, а не читать всякую дребедень. | |
|
| Сообщение # 93 |
12.05.08 - 13:57:11
| |
Maksir •
M Участник форума
|
Цитата: | О как. А про automount в Линуксе вы когда-нибудь слышали? Я понимаю что в вашем ArchLinux его может быть еще и нет, но в большинстве современных дистрибутивов он имеется. |
И что дальше? Может, ещё и автозапуск файлов там есть?
Динамика прав в Linux работает таким образом, что простой пользователь не может влиять на процессы. Только root может.
В Linux можно всё собрать вручную, без установки ненужного мусора вместе с программным кодом. Здесь существенная разница, как и у автогонщиков, - автамтическая коробка передачь, или ручная?
Цитата:| В таких вещах как космос используют строго специализированные встроенные системы типа QNX, но уж никак не Линукс. Да и откуда вы эти сведения вообще взяли? |
Книжки читаю. Первым в космос полетел Debian. Потом, может и появился специализированное программное обеспечение. Что, вполне вероятно.
Цитата: Эта проблема связана не с владельцами и группами а с уязвимостью непосредственно программного обеспечения. Раз уж вы решили сравнивать безопасность систем, то и сравнивайте соответственно только системную часть. Ядро Винды и ядро Линукса к примеру, а то дырявого софта и под Линуксом можно откопать немало.
|
Вопервых, речь идёт о httpd модуль apache. Этот Сервер написан специально для *nix систем и работает он по принципу Unix-подобным. Очень надёжный сервер. Его принципы конфигурирования известны и полноценно работать он может только в своей родной среде. В Windows, это всего лишь интропритатор. Переделать его почти невозможно (это не предусмотренно вообще никак).
Со стороны систем, говоря о ядрах операционных систем, Вы шагнули дальше всех, как я погляжу. Вы, наверное, каждый день перекомпилируете сервера на Windows таким образом, что бы злодеи не смогли бы их захватить. Если это так, может покажите нам конфиг Windows? Ядро Linux состоит из поддержки модулей, в основном, это поддержка железа, а не сети. Ядро, в котором можно исключить ненужное и оставить нужное проверенное временем, надёжное. Эти модули не предоставляют доступ через сеть, они просто помогают. Процесс "из вне", не может доменировать над процессами в системе Unix/Linux. Если что-то происходит не так, то этот процесс можно пресечь и исключить. Можно пересобрать и переписать код, перекомпелировать полностью систему. В Windows, вы этого сделать не сможете. Вы будете юзать только то, что вам подсовывают. | |
|
| Сообщение # 94 |
12.05.08 - 16:09:21
| |
Rootman •
R гость
|
Цитата: Так вот, здесь действует правило "динамический" и "статический" элимент/файл. Если мы берём файл через интропритатор PHP, то права на файл "Все остальные", они действительно ненужны. Но, если файл "статический", такой как index.html , то в этом случае обязательно нужны права для "Всех остальных". Увы, так устроен apache, что не является опасным с правами 644
|
Увы, так не просто устроен Apache, просто он скомпилирован на хосте с поддержкой функции suexec, позволяющей запускать скрипты от имени другого пользователя, а не того, который прописан в настройках по умолчанию. Однако это очень небезопасная штуковина, потому что один неверный шаг в настройках и скрипт у вас может запуститься под рутом. Использовать эту функцию лучше только в крайнем случае, когда действительно зачем-то необходимо запускать скрпиты от другого пользователя. В остальных случаях ее лучше отключать.
Цитата: Вот по этому, в многозначительных справках, вам рекомендуют права типа 755 и 644. Но, что неприемлемо для динамически-меняющихся файлов.
|
Вот поэтому в справках и рекомендуют права с записью и чтением для всех остальных, поскольку хостеры понимают, что нельзя давать всем подряд suexec, они справедливо отлючают эту функцию, в результате все скрипты запускаются от nobody и для записи в файлы приходится ставить права "Для всех остальных".
Цитата:| Но, Вы мне не оставляете выбора, поскольку, не разу не привели ни одного убедительного и рассудительного ответа. Кто должен за вас думать, если вы админ? Справочный материал, который пишут такие же люди, как вы? |
Вот и прочитайте где-нибудь в справочном материале про suexec. Везде будет написано, что использовать эту штуку надо с большой осторожностью. Чтобы далеко не ходить, прямо из документации к Apache (manual/suexec.html)
Second, it is assumed you are familiar with some basic concepts of your computer's security and its administration. This involves an understanding of setuid/setgid operations and the various effects they may have on your system and its level of security.
В переводе это означает то что я писал выше. Можете сами перевести, если не верите.
Цитата: Вы не разу не предоставили мне никаких серъёзных причин, кроме тех, что у вас - авторы phpBB - это авторитет и их решения для вас - аксиома.... Почему я должен думать так, а не иначе?
|
А почему собственно авторов phpBB нельзя считать авторитетными? Это серьезный коллектив разработчиков, который много лет разрабатывает и поддерживает один из самых популярных форумных движков в Интернете. Они заслужили авторитет. Впрочем, если вас не устраивает авторитет команды phpBB, как насчет авторитетности разработчиков самого Apache и того текста из манула, что я привел чуть выше?
Цитата:| я, не предусмотрел разницу динамически меняющихся сценариев и простых, обычных статических файлов html. Вы, утверждаете, что права "Для всех" нужны, но выходит, что - сами не знаете, или "не сечёте", - почему они нужны... ссылаетесь на FAQ хостеров. |
Да нет, я делеко не один раз обьяснял, зачем они нужны. Без них на многих хостах вы не сможете ни считать файл, ни что-нибудь в него записать. И я говорил вам это неоднократно.
Цитата: И что дальше? Может, ещё и автозапуск файлов там есть?
|
Разумеется, например KDE это умеет, автоматом монтировать компакт-диски и открывать автоматом их содержимое в Konqueror, а если это настроить, то вместо Konqueror-а можно выполнить wine autorun.exe и вперед. Ну если у вас разумеется установлен Wine
Цитата: Динамика прав в Linux работает таким образом, что простой пользователь не может влиять на процессы. Только root может.
|
Простой пользователь может как влделец влять на те процессы, которые запущены от его имени. Так если вы запустите Apache из консоли, зайдя в нее под именем user, вы спокойно сможете с помошью kill убить его процесс.
| |
|
| Сообщение # 95 |
13.05.08 - 10:03:18
| |
Rootman •
R гость
|
Цитата: Книжки читаю. Первым в космос полетел Debian. Потом, может и появился специализированное программное обеспечение. Что, вполне вероятно.
|
Да вы не утверждайте, вы факты приведите, из какого источника вы это взяли. Если из источника, посвященного Линуксу, тогда его нельзя считать непредвзятым.
Цитата: Вопервых, речь идёт о httpd модуль apache. Этот Сервер написан специально для *nix систем и работает он по принципу Unix-подобным. Очень надёжный сервер. Его принципы конфигурирования известны и полноценно работать он может только в своей родной среде. В Windows, это всего лишь интропритатор. Переделать его почти невозможно (это не предусмотренно вообще никак).
|
Какой интерпретатор, откуда вы это выкопали. В Винде это точно такой-же бинарный EXE-файл, как и все остальные файлы в этой системе. Тем более что Си, на котором написан этот сервер, язык универсальный и кросплатформенный. В Винде у httpd просто есть несколько ограничений на функции, которые там не работают, только и всего.
Цитата:| Со стороны систем, говоря о ядрах операционных систем, Вы шагнули дальше всех, как я погляжу. Вы, наверное, каждый день перекомпилируете сервера на Windows таким образом, что бы злодеи не смогли бы их захватить. Если это так, может покажите нам конфиг Windows? |
Речь была не о компиляции ядер, а об их безопасности. Если вы сравниваете безопасность систем, то и делайте именно это, а не сравнивайте безопасность софта, который по системой работает.
Цитата:| Ядро Linux состоит из поддержки модулей, в основном, это поддержка железа, а не сети. |
Как-же. В раздел конфигурации сети в ядре загляните, там кроме поддержки железа очень много чего для поддержки имено сети, и тунелирование, и расширенная маршрутизация и НАТ и поддержка протоколов. Очень много чего.
Цитата:| Процесс "из вне", не может доменировать над процессами в системе Unix/Linux. |
Если дыра в процессе, который работает по рутом - еще как может. И таких случаев на сайтах по безопасности можно при желании отыскать не мало.
Цитата:| Можно пересобрать и переписать код, перекомпелировать полностью систему. В Windows, вы этого сделать не сможете. Вы будете юзать только то, что вам подсовывают. |
А для админа это почти без разницы, большинство из них не настолько крутые программисты, чтобы самостоятельно переписывать что-то в ядре системы. В любом случае они используют то готовое, что им дают. | |
|
| Сообщение # 96 |
13.05.08 - 10:03:31
| |
Maksir •
M Участник форума
|
Цитата: | А почему собственно авторов phpBB нельзя считать авторитетными? Это серьезный коллектив разработчиков, который много лет разрабатывает и поддерживает один из самых популярных |
Потому что phpBB и форум WR это не одно и тоже, хотя бы по этому.
Цитата:| Да нет, я делеко не один раз обьяснял, зачем они нужны. Без них на многих хостах вы не сможете ни считать файл, ни что-нибудь в него записать. И я говорил вам это неоднократно. |
Дайте ссылку на свой пост.
Цитата:| Какой интерпретатор, откуда вы это выкопали. В Винде это точно такой-же бинарный EXE-файл, как и все остальные файлы в этой системе |
У Вас теперь все exe файлы теперь бинарики, а исходники - сырцы?... 
Если Вы не ощущаете разницы между Unix и Windows, это ваши проблемы!
Цитата: Речь была не о компиляции ядер, а об их безопасности. Если вы сравниваете безопасность систем, то и делайте именно это, а не сравнивайте безопасность софта, который по системой работает.
|
Безопасность системм Windows и Unix? :)
Цитата:
Доступ к файлам и к сети в Линуксе предоставляется на уровне ядра а не программ. Собственно сетевые протоколы они как раз и зашиты в ядро. За исключением разве что протокола SMB, впрочем для его работы тоже необходим несущий TCP/IP-протокол ядра.
|
Вопервых, ядро не предоставляет доступ через сеть, это вы попутали.
Вовторых, сетевые протоколы не зашиты в ядро Unix. Ничто не мешает ядро пересобрать без сетевой поддержки. Просто, смысла в этом нет - нет такой необходимости в целях безопасности.
Втретьих, SMB протокол, это даже не модуль ядра, а программа, такая же как apache.
Цитата:| Разумеется, например KDE это умеет, автоматом монтировать компакт-диски и открывать автоматом их содержимое в Konqueror, а если это настроить, то вместо Konqueror-а можно выполнить wine autorun.exe и вперед. Ну если у вас разумеется установлен Wine |
Давайте без "настроить" поговорим. Shared Docs в Windows как поживает?
В Unix-подобных системах нет вирусов и нет проблем с безопасностью.
Цитата:| Если дыра в процессе, который работает по рутом - еще как может. |
По-умолчанию все настройки системы не позволяют даже шага ступить за пределы своего каталога обычным пользователям. Дыр нет никаких и даже тени в безопасности быть не может. Есть такие убожества вроде вас.
| |
|
| Сообщение # 97 |
13.05.08 - 14:31:26
| |
Maksir •
M Участник форума
|
Цитата: | Увы, так не просто устроен Apache, просто он скомпилирован на хосте с поддержкой функции suexec, позволяющей запускать скрипты от имени другого пользователя, а не того, который прописан в настройках по умолчанию. |
Здесь речь идёт о командах sgid и suid стандартных для систем Unix. А точнее сказать, setuid , setgid касаются именно тех самых настроек, которые регулируются через sgid и suid и это относится к файловым сестемам, где это поддерживается.
Вот текст:
Цитата:| сначала, предполагается, что Вы используете производную UNIX операционная система, которая является способной к setuid и setgid операции. Все примеры команды даются в этом отношении. Другие платформы, если они способны к поддержке suEXEC, могут отличаться по их конфигурации |
Что не относится к Windows.
Вот ссылка на аригинал статьи http://www.oglib.ru/apman/suexec.html | |
|
| Сообщение # 98 |
13.05.08 - 15:26:37
| |
Rootman •
R гость
|
Цитата: Потому что phpBB и форум WR это не одно и тоже, хотя бы по этому.
|
А причем здесь WR-форум? Я вам говорю что разработчики phpBB вполне компетентны, чтобы знать какие атрибуты нужны для работы их продукта и раз указывают 755 и 666, значит знают зачем оно надо и почему именно такие.
Цитата: Дайте ссылку на свой пост.
|
Форум не позволяет давать ссылок на одиночные сообщения, поэтому процитирую:
Сообщение # 63.
Права nobody нужны чтобы сервер не работал и не выполнял файлы с правами их владельца а имел к ним доступ только как "все остальные", иначе повторяю - любая дырка в скрипте и взломщик получит полный доступ ко всему сайту как владелец, а такого быть не должно. Когде-же вы это наконец поймете. В том же случае, о котором я говорю, взломщик может получить доступ лишь к файлам, доступным для записи. Изменить или удалить остальные файлы он обломится.
Цитата: У Вас теперь все exe файлы теперь бинарики, а исходники - сырцы?...
Если Вы не ощущаете разницы между Unix и Windows, это ваши проблемы!
|
В Винде вообще-то все EXE-файлы - бинарники, али вы не знали? Нет, я конечно понимаю что вы можете создать на диске файл с расширением EXE и вписать туда любую глупость, однако глупо отрицать очевидное, в Винде exe-файлы - бинарники. Это вы как всегда Винду с Юниксом попутали в котором бинарные файлы обычно без расширения.
Цитата: Безопасность системм Windows и Unix? :)
|
Именно. И как так насчет безопасности ядра Винды и ядра Линукса? Повторяю ядра а не программ.
Цитата: Вопервых, ядро не предоставляет доступ через сеть, это вы попутали.
Вовторых, сетевые протоколы не зашиты в ядро Unix. |
TCP/IP зашит в ядро UNIX. Вы утверждаете что TCP/IP это не транспортный протокол? Постыдились-бы чтоли утверждать такие глупости. TCP/IP именно протокол, который предоставляет доступ в сеть, поскольку это протокол транспортный, в отличие от всяких HTTP, FTP итд, которые являются прикладными протоколами.
Цитата:| Ничто не мешает ядро пересобрать без сетевой поддержки. |
Ну попробуйте, пересоберите его без поддержки TCP/IP.
Цитата: Втретьих, SMB протокол, это даже не модуль ядра, а программа, такая же как apache.
|
А в Виндах - часть ядра. И никто не мешает написать модуль поддержки SMB для ядра Линукса, просто смысла нет.
Цитата: Shared Docs в Windows как поживает?
В Unix-подобных системах нет вирусов и нет проблем с безопасностью.
|
У меня на сервере тоже нет, а если появляется антивирусник их тут же удаляет. В Юниксах нет вирусов не потому что их невозможно для него написать, а потому что у пользователей он малопопулярен, чтобы специально под него писать вирусы.
Цитата: По-умолчанию все настройки системы не позволяют даже шага ступить за пределы своего каталога обычным пользователям. Дыр нет никаких и даже тени в безопасности быть не может. Есть такие убожества вроде вас.
|
Любезный, полностью безопасных систем не бывает впринципе, самая безопасная система - выключенная из розетки и запертая в сейф, да и то, при желании из сейфа утащить могут.
Насчет того, что якобы нет дыр, почитайте хоть один сайт по безопасности, хотя бы общеизвестный bugtraq.ru. Вот сейчас захожу и сразу на первой странице читаю "25-летний баг в BSD". Кстати, вы в Линуксе каким браузером пользуйтесь, не Mozilla случаем? Тогда получайте http://bugtraq.ru/review/archive/2007/26-07-07.html с того же сайта.
Цитата: Здесь речь идёт о командах sgid и suid стандартных для систем Unix. А точнее сказать, setuid , setgid касаются именно тех самых настроек, которые регулируются через sgid и suid и это относится к файловым сестемам, где это поддерживается.
|
Не путайтe suid/sgid аттрибуты с одноименными системными вызовами setuid, setgid.
Нет, ну что за линуксоид нынче пошел, совсем мануалы разучился читать. Нет бы набрать man setuid прежде чем что-то утверждать.
Цитата: Что не относится к Windows.
Вот ссылка на аригинал статьи http://www.oglib.ru/apman/suexec.html |
Ну да, Виндовс не поддерживает suexec, там все скрипты и файлы выполняются и читаются с теми правами, под каким пользователем запущен сервер. Укажите в планировщике заданий запускать сервер под пользователем "ВасяПупкин", будет под ним выполнять. | |
|
| Сообщение # 99 |
14.05.08 - 06:35:23
| |
Maksir •
M Участник форума
|
Цитата: | А причем здесь WR-форум? Я вам говорю что разработчики phpBB |
Есть существенная разница.
Цитата:| иначе повторяю - любая дырка в скрипте и взломщик получит полный доступ ко всему сайту как владелец, а такого быть не должно |
Каким образом взломщик наковыряеет такую дыру через скрипт, что бы зайти на сервер с правами владельца? Владелец и Группа необходимы , если скрипт выполняется через интропретатор PHP. Если это статический файл, который просто передаётся сервером как есть, в этом случае нужны права "Все остальные". Если это скрипт написанный на PHP, то здесь ненужны права "Все остальные". Обработчик PHP сам выдаст результат через сценарий, который вы программируете.
[BR] 2. [/BR] Если я ограничиваю права для "Всех остальных", то я знаю, зачем это делаю. Но вы, никак не поймёте и упираетесь на какой-то взлом системмы... Причём здесь "взлом" и права которые я и без того ограничиваю?
Цитата:| TCP/IP зашит в ядро UNIX. Вы утверждаете что TCP/IP это не транспортный протокол? Постыдились-бы чтоли утверждать такие глупости. |
Это не один протокол, а группа протоколов. И про TCP/IP я ничего не утверждал, вы бредите.
Но, мне интересно, чем это группа протоколов пришита к ядру Unix? И за что я должен извиняться, если само ядро Unix мжет быть как угодно урезанным.
я даже боюсь вас спросить, - имели ли вы дело с компилированием ядра? (сейчас как ответите -да...)
Цитата:| Не путайтe suid/sgid аттрибуты с одноименными системными вызовами setuid, setgid |
я ответил по-существу. Дал вам ссылку, привёл цитату из статьи.
Цитата:| В Юниксах нет вирусов не потому что их невозможно для него написать, а потому что у пользователей он малопопулярен, чтобы специально под него писать вирусы. |
Это мнение самое распростронённое, но не имеет под собой никакого весомого аргумента.
Я приведу вот такое сравнение:
1) Macintosh, первый конкурент Micrasoft Windows. В связи с выходом её новой версии, Microsoft выпустила свою Vista, которая была недоделана к тому моменту. Результат налицо...
2) Сервера в Интернет на 90% стоят на Unix
3) Выпускаемые DSL-модемы и роутеры (любые комутаторы) программируются на основе Unix
4) В магазинах всё чаще можно встретить торговую марку MacOS , или КПК с прошивкой MacOS
И, этот список можно продолжать, и говорить о том, как скоро MacOS будет пользоваться большей популярностью, сколько угодно. Но, главный вопрос о безопасности - вирус для Unix? Это технически не представляется возможным, поскольку в Unix самая надёжная системма безопасности проверенная временем. В техническом представлении, получение прав Владельца, это не предстовляется возможным. В этом и состоит принцип передачи прав от пользователя-Владельца, Группой, а также Динамического распределения процессов. Чего нет в Windows.
Цитата:| Ну да, Виндовс не поддерживает suexec, |
я имел ввиду вот это - 0755 - первый ноль. Здесь речь идёт о поддержке файловых систем. Ссылку дал, где прямым текстом об этом написанно. Там так же написанно, что в различных операционных системах используются специальные настройки системмы. Проще говоря, програмный блок эмулирующий сервер Unix, который распределяет и хранит все эти данные. | |
|
| Сообщение # 100 |
14.05.08 - 17:12:27
| |
Maksir •
M Участник форума
|
Цитата: | А причем здесь WR-форум? Я вам говорю что разработчики phpBB вполне компетентны, чтобы знать какие атрибуты нужны для работы их продукта и раз указывают 755 и 666, значит знают зачем оно надо и почему именно такие. |
Важно, что бы вы сами понимали для чего эти права нужны. А то в FAQ , которые вы мне давали, там вообще не указаны права - 666 .
Кстати, 666 - открыт для кого угодно на запись, как вы сами себе такое представляете? Нужно ли вообще ломать сервер, что бы запустить свой скрипт на этом узле?
И нужны ли вообще права на запись файлам этого phpBB , если он работает с базой MySQL, которая находится вообще в другом каталоге сервера (где и Владелец и Группа определены - mysql) | |
|
| Сообщение # 101 |
14.05.08 - 17:32:57
| |
Rootman •
R гость
|
Цитата: Есть существенная разница.
|
Ну-да, между WR-Forum и phpBB есть существенная разница, это понятно. Однако и там и там рекомендуются одинаковые права доступа к файлам, вот в чем весь прикол.
Цитата:| Каким образом взломщик наковыряеет такую дыру через скрипт, что бы зайти на сервер с правами владельца? Владелец и Группа необходимы , если скрипт выполняется через интропретатор PHP. |
Так и наковыряет. В вашем варианте скрипт у вас уже выполняется с правами владельца. В том-же варианте, который п | |
|
| Сообщение # 102 |
15.05.08 - 09:55:18
| |
Rootman •
R гость
|
Цитата: Есть существенная разница.
|
Ну-да, между WR-Forum и phpBB есть существенная разница, это понятно. Однако и там и там рекомендуются одинаковые права доступа к файлам, вот в чем весь прикол.
Цитата:| Каким образом взломщик наковыряеет такую дыру через скрипт, что бы зайти на сервер с правами владельца? Владелец и Группа необходимы , если скрипт выполняется через интропретатор PHP. |
Так и наковыряет. В вашем варианте скрипт у вас уже выполняется с правами владельца. В том-же варианте, который предлагаю я, скрипт выполняется с совершенно левыми правами типа nobody что собственно исключает возможность потенциальному взломщику получить доступ к изменению всех файлов, исключая тех, на которых высталвено "запись для всех остальных". В любом случае пусть взломщик убьет все файлы, доступные для записи, чем все файлы на сервере вообще.
Цитата:| Если это статический файл, который просто передаётся сервером как есть, в этом случае нужны права "Все остальные". Если это скрипт написанный на PHP, то здесь ненужны права "Все остальные". |
Если у вас сервер работает без suexec, тогда все файлы выполняются с одинаковыми правами доступа, независимо от того, статический он или скриптовый. Вы мне мануал русский по suexec привели, почитали-бы чтоли с самого начала что там написано. Правда там корявый перевод, который делался программой переводчиком, однако смысл его вполне ясен.
Особенно это:
Однако, если suEXEC ненадлежащим образом формируется, это может вызвать любое число проблем и возможно создать новые отверстия в безопасности вашего компьютера. Если Вы не знакомы с управлением корень setuid программы и безопасность выходят, они представляют, мы высоко рекомендуем, чтобы Вы не рассмотрели использование suEXEC.
Вдумайтесь что здесь написано, прежде чем захотите что-то возразить.
Цитата: Это не один протокол, а группа протоколов. И про TCP/IP я ничего не утверждал, вы бредите.
Но, мне интересно, чем это группа протоколов пришита к ядру Unix? И за что я должен извиняться, если само ядро Unix мжет быть как угодно урезанным.
я даже боюсь вас спросить, - имели ли вы дело с компилированием ядра? (сейчас как ответите -да...) |
Интерестно. Ранее вы утверждали что в ядре якобы вообще нет поддержки сети, а теперь выходит что оказывается уже и есть. Успехи делаете. Про компиляцию ядра естественно, вы правы, я отвечу - да, причем не раз имел дело и поэтому знаю что нет в настройках ядра возможности полностью выбросить из него весь TCP/IP. Если не согластны, предьявите ядро, в котором не было-бы вообще никакой поддержки TCP/IP.
Цитата: я ответил по-существу. Дал вам ссылку, привёл цитату из статьи.
|
Не ответили, поскольку suid/sgid - это аттрибуты, а setuid/setgid - системные вызовы, непосредственного отношения к файловой системе не имеющие.
Цитата: Я приведу вот такое сравнение:
1) Macintosh, первый конкурент Micrasoft Windows. В связи с выходом её новой версии, Microsoft выпустила свою Vista, которая была недоделана к тому моменту. Результат налицо...
2) Сервера в Интернет на 90% стоят на Unix
3) Выпускаемые DSL-модемы и роутеры (любые комутаторы) программируются на основе Unix
4) В магазинах всё чаще можно встретить торговую марку MacOS , или КПК с прошивкой MacOS
|
Вот, когда MacOS или Linux будут стоять на 90% рабочих столов, тогда и увидим сколько под ними будет вирусов. Что же касается 90% серверов, большинство вирусов в основном ориентируются на пользователя, а не на сервер, на сервер они проникают через аккаунт пользователя, украденный с его рабочего места. Потому что проще украть пароль у пользователя, чем долго и упорно ломать сервер.
| |
|
| Сообщение # 103 |
15.05.08 - 09:55:34
| |
Rootman •
R гость
|
Цитата: | Но, главный вопрос о безопасности - вирус для Unix? Это технически не представляется возможным, поскольку в Unix самая надёжная системма безопасности проверенная временем. |
Не говорите ерунды, любая критическая дыра в любой служебной программе, работающей под рутом, и написать под эту дыру вирус для специалиста не составит большого труда. А таковых дыр с служебных программах Юниксов было найдено не так уж и мало. Почитайте bugtraq, вы там все это найдете, а на сайте securitylab.ru можете найти даже готовые эксплоиты под некоторые дыры.
Цитата:| я имел ввиду вот это - 0755 - первый ноль. Здесь речь идёт о поддержке файловых систем. Ссылку дал, где прямым текстом об этом написанно. |
Да, в винде нет 0755 и что с того? В Винде можно легко установить аналог этих аттрибутов.
Цитата:| Там так же написанно, что в различных операционных системах используются специальные настройки системмы. Проще говоря, програмный блок эмулирующий сервер Unix, который распределяет и хранит все эти данные. |
Не эмулирующий а работающий как родной бинарный файл системы.
Цитата: Кстати, 666 - открыт для кого угодно на запись, как вы сами себе такое представляете? Нужно ли вообще ломать сервер, что бы запустить свой скрипт на этом узле?
|
Нужно и еще как. К примеру мой сайт находится в каталоге /home/users/4Wf549sWjkew245DSSWQew/
Для каталога users установлены аттрибуты rw--rw--r--, т.е просмотр его содержимого запрещен. Задача: имея доступ к каталогу /home определить где находится мой сайт и запусить на нем какой-нибудь посторонний скрипт.
Подобный способ защиты это не моя выдумка, схожий способ используется на хостинге host.km.ru
Цитата:| И нужны ли вообще права на запись файлам этого phpBB , если он работает с базой MySQL, которая находится вообще в другом каталоге сервера (где и Владелец и Группа определены - mysql) |
У phpBB вообще-то каталог для загрузки и хранения аватаров есть.
| |
|
| Сообщение # 104 |
15.05.08 - 09:56:09
| |
|
Главная сайта