chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

[unrealx0]

Witam,

niby to nie jest serwer tylko zwykły pc ale dlaczego nie ma być zrobione dobrze. Tak więc tu się rodzi moje pytanie czy tak jest dobrze czy można to wykonać lepiej, user musi mieć możliwość tworzenia,edycji,usuwania katalogów w folderze public_html.

Kod: Zaznacz cały

chown -R nazwa_user:www-data /home/nazwa_user/public_html
chmod 755 /home/nazwa_user/public_html -R

[enedil]

Zmień grupę na www-data, dodaj usera go grupy i po sprawie.

[unrealx0]

Kod: Zaznacz cały

chown -R nazwa_user:www-data /home/nazwa_user/public_html
chmod 755 /home/nazwa_user/public_html -R

No ale chyba to już zrobiłem tak "nazwa_user:www-data". i pytam czy jest ok znaczy się ja wiem że to działa i robi to co chce chodzi bardziej o kwestie bezpieczeństwa.

[jacekalex]

Kod: Zaznacz cały

chown -R nazwa_user:www-data /home/nazwa_user/public_html
chmod 755 /home/nazwa_user/public_html -R

No ale chyba to już zrobiłem tak "nazwa_user:www-data". i pytam czy jest ok znaczy się ja wiem że to działa i robi to co chce chodzi bardziej o kwestie bezpieczeństwa.

Moim zdaniem lepiej będzie tak:

Kod: Zaznacz cały

chmod 711 /home/nazwa_user
chown -R nazwa_user:www-data /home/nazwa_user/public_html
chmod 2755 /home/nazwa_user/public_html

Podobnie do tej instrukcji:
https://forums.grsecurity.net/viewtopic ... 912#p13847

Pozdro

[unrealx0]

o widzisz dzięki

[rob006]

To zadziała, ale każdy nowy plik stworzony przez twojego usera znowu będzie miał twoją grupę i www-data może nie mieć do niego dostępu. Najprościej dodać www-data do grupy usera (jako dodatkową grupę), później restart serwera www. Dużo czystsze rozwiązanie niż zmiana głównej grupy usera.

[jacekalex]

To zadziała, ale każdy nowy plik stworzony przez twojego usera znowu będzie miał twoją grupę i www-data może nie mieć do niego dostępu. Najprościej dodać www-data do grupy usera (jako dodatkową grupę), później restart serwera www. Dużo czystsze rozwiązanie niż zmiana głównej grupy usera.

Kiepski pomysł z tym dodawaniem www-data, bo Apache uzyska wtedy dostęp do całego folderu użytkownika, a zdaje mi się, że to nie jest najszczęśliwszy pomysł i chyba niezupełnie o to chodzi.
Chyba, żeby zastosować się do twojej rady, ale obciąć uprawnienia Apacha przy pomocy Apparmora albo SElinuska (likwidując w ten sposób otwartą dziurę), ale to już inna bajka i inny poziom abstrakcji.

Samemu Apachowi nie można wierzyć, że nie wyskoczy poza zdefiniowane drzewo katalogów (zwłaszcza z włączonym php), wystarczy zapuścić skaner Nikto, żeby się przekonać na własne oczy, jak to naprawdę działa.

Pozdro

[rob006]

Kiepski pomysł z tym dodawaniem www-data, bo Apache uzyska wtedy dostęp do całego folderu użytkownika, a zdaje mi się, że to nie jest najszczęśliwszy pomysł i chyba niezupełnie o to chodzi.

Racja, ale zakładam że to serwer developerski, lepsze to niż kopanie się z uprawnieniami dla każdego nowego pliku.

[jacekalex]

Racja, ale zakładam że to serwer developerski, lepsze to niż kopanie się z uprawnieniami dla każdego nowego pliku.

Co za kopanie z uprawnieniami? 2000 oznacza bit SGID, każdy tworzony plik i folder w środku dostaje grupę folderu nadrzędnego.
Np:

Kod: Zaznacz cały

mkdir public
sudo chown pacjent:nginx public
sudo chmod 2755 public
mkdir -p public/wordpress/themes
touch  public/wordpress/themes/index.html

Rezultat:

Kod: Zaznacz cały

ls -lR public/
public/:
razem 4
drwxr-sr-x 3 pacjent nginx 4096 02-10 17:51 wordpress

public/wordpress:
razem 4
drwxr-sr-x 2 pacjent nginx 4096 02-10 17:51 themes

public/wordpress/themes:
razem 0
-rw-r--r-- 1 pacjent nginx 0 02-10 17:51 index.html

SOA#1

Sznurki:
http://pl.wikipedia.org/wiki/Chmod
http://pl.wikipedia.org/wiki/Setuid
A szczególnie:

W przypadku katalogów atrybuty setuid oraz setgid mają odmienne znaczenie; w katalogach opatrzonych atrybutem setgid wszystkie nowotworzone wpisy (pliki, katalogi itp.) stają się własnością grupy, będącej właścicielem katalogu. Atrybut ten jest zazwyczaj dziedziczony przez nowotworzone podkatalogi.

To by było na tyle

[rob006]

Z tym że nie dotyczy to przenoszonych katalogów/plików z już przypisanymi uprawnieniami i właścicielem.

[jacekalex]

"Wielki Problem"...

Kod: Zaznacz cały

#!/bin/bash
find /home/pacjent/public_html  -type d -exec chmod 755 '{}' \;
find /home/pacjent/public_html -type f -iname '*.php'  -exec chmod 755 '{}' \;
find /home/pacjent/public_html  -type f -iname '*.js'  -exec chmod 644 '{}' \;
find /home/pacjent/public_html  -type f -iname '*.jpg'  -exec chmod 644 '{}' \;
find /home/pacjent/public_html -type f -iname '*.gif'  -exec chmod 644 '{}' \;
find /home/pacjent/public_html -type f -iname '*.png'  -exec chmod 644 '{}' \;
find /home/pacjent/public_html -type f -iname '*.pdf'  -exec chmod 644 '{}' \;
find /home/pacjent/public_html -type f -iname '*.cgi'  -exec chmod 755 '{}' \;
find /home/pacjent/public_html -type d -iname 'tmp'  -exec chmod 1777 '{}' \;
find /home/pacjent/public_html  -type d -iname 'cache'  -exec chmod 1777 '{}' \;

Możesz sobie zapiać takiego skrypta do np Dnotify, Inotify, albo odpalać z palca, czy jeśli chcesz,
to z Crona co kwadrans też możesz.

W każdym razie ten problem z przenoszeniem plików do folderu jest już trochę "z doopy wzięty".

I tak, jak chcesz posadzić np Wordpressa czy Joomlę, to musisz zrobić uprawnienia, chyba, że zrobi je automatycznie skrypt instalacyjny.
Bez tego żadna strona i tak nie będzie działać.

To by było na tyle

[rob006]

To jest prosty i powszechny problem, tylko twoje rozwiązanie jest wydumane. ;] W praktyce nie chcę bawić się w pilnowanie uprawnień, ręcznie uruchamianie skryptów czy czekanie na crona. Dodanie www-data do grupy usera to banalne rozwiązanie, a ryzyko na developerskiej maszynie bez udostępnionego www na świat i tak jest minimalne. Przy uruchamianiu PHP przez cgi na uprawnieniach użytkownika problem uprawnień praktycznie znika. A że da się bezpieczniej to pewne, ale czy warto to już bym się spierał. ;]

[jacekalex]

To jest prosty i powszechny problem, tylko twoje rozwiązanie jest wydumane. ;] W praktyce nie chcę bawić się w pilnowanie uprawnień, ręcznie uruchamianie skryptów czy czekanie na crona. Dodanie www-data do grupy usera to banalne rozwiązanie, a ryzyko na developerskiej maszynie bez udostępnionego www na świat i tak jest minimalne. Przy uruchamianiu PHP przez cgi na uprawnieniach użytkownika problem uprawnień praktycznie znika. A że da się bezpieczniej to pewne, ale czy warto to już bym się spierał. ;]

Przecież napisałem wyżej po polsku, że można www-data dodawać do grupy usera, o ile sam Apache i php są odseparowane od tego, czego widzieć nie powinny, Apparmorem, SElinuxem, Tomoyo albo Grsec-RBAC, i potencjalne zagrożenie wynikające z udostępnienia całego folderu pacjenta dla serwera WWW jest wyeliminowane na innym poziomie abstrakcji, bardziej szczegółowym, niż standardowy system uprawnień.

Szczegółowe profile ACL to standard na serwerach, a Ubuntu profil Appamora dla Apacha i PHP powinien mieć domyślnie włączony, choć jak to jest faktycznie, diabli wiedzą.

To by było na tyle

[unrealx0]

próbuje tych ustawień ale nginx mi nie widzi strony. Tym razem jest to serwer na debianie.

w katalogu user/share/nginx/www widzi a jak zmienię mu na "root /home/user/public_html; " w etc/nginx/sites-available/ na public_html to nie widzi. Czyli wina chyba uprawnień.

Prawa ustawiłem takie.

Kod: Zaznacz cały

chmod 711 /home/nazwa_user
chown -R nazwa_user:www-data /home/nazwa_user/public_html
chmod 2755 /home/nazwa_user/public_html

Nawet próbowałem dodawać jako www-data:www-data nic nie pomaga

Kod: Zaznacz cały

root@vpsxxxxx:/home/user# ls -l
razem 4
drwxr-sr-x 2 www-data www-data 4096 lut 12 16:51 public_html

Edit: Nawet na chmod 777 public_html nie chce isc

[jacekalex]

Logi Nginxa koza zjadła?

Gdzie jest konfig Nginxa?

[unrealx0]

Przepraszam zapomniałem.
Ostatnie logi /var/log/nginx/error.log

Kod: Zaznacz cały

2015/02/12 16:30:56 [error] 6731#0: *1 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "yyy.xxx.pl"
2015/02/12 16:30:58 [error] 6731#0: *3 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:32:53 [error] 6731#0: *6 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:42:57 [error] 6731#0: *8 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:43:14 [error] 6731#0: *10 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:43:14 [error] 6731#0: *12 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:43:14 [error] 6731#0: *10 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:43:14 [error] 6731#0: *12 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:48:04 [error] 6731#0: *14 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:51:34 [error] 6731#0: *16 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:56:04 [error] 7033#0: *1 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:58:24 [error] 7033#0: *3 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:59:03 [error] 7033#0: *5 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 17:15:16 [error] 7033#0: *8 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 17:15:16 [error] 7033#0: *8 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 17:16:10 [error] 7033#0: *10 connect() failed (111: Connection refused) while connecting to upstream, client: 1xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 17:18:02 [error] 7033#0: *12 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 17:18:45 [error] 7033#0: *14 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 17:22:01 [error] 7033#0: *16 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx server: xxx.pl, request: "GET /index.php HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"

/etc/nginx/sites-available/default

Kod: Zaznacz cały

server {
        listen   80; ## listen for ipv4; this line is default and implied
        #listen   [::]:80 default_server ipv6only=on; ## listen for ipv6

        root /home/user/public_html; # tuj ak zmienie na user/share/nginx/www działa
        index index.php index.html index.htm;

        # Make site accessible from http://localhost/
        server_name xxx.pl;

        # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
        #
        location ~ \.php$ {
                fastcgi_split_path_info ^(.+\.php)(/.+)$;
        #       # NOTE: You should have "cgi.fix_pathinfo = 0;" in php.ini
        #
        #       # With php5-cgi alone:
                fastcgi_pass 127.0.0.1:9000;
        #       # With php5-fpm:
        #       fastcgi_pass unix:/var/run/php5-fpm.sock;
                fastcgi_index index.php;
                include fastcgi_params;
        }
}

nginx.conf

Kod: Zaznacz cały

user www-data;
worker_processes 1;
pid /var/run/nginx.pid;

events {
        worker_connections 768;
        # multi_accept on;
}

http {

        ##
        # Basic Settings
        ##

        sendfile on;
        tcp_nopush on;
        tcp_nodelay on;
        keepalive_timeout 65;
        types_hash_max_size 2048;
        # server_tokens off;

        # server_names_hash_bucket_size 64;
        # server_name_in_redirect off;

        include /etc/nginx/mime.types;
        default_type application/octet-stream;
##
        # Logging Settings
        ##

        access_log /var/log/nginx/access.log;
        error_log /var/log/nginx/error.log;

        ##
        # Gzip Settings
        ##

        gzip off;
        gzip_disable "msie6";

        # gzip_vary on;
        # gzip_proxied any;
        # gzip_comp_level 6;
        # gzip_buffers 16 8k;
        # gzip_http_version 1.1;
        # gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;

        ##
        # nginx-naxsi config
        ##
        # Uncomment it if you installed nginx-naxsi
        ##  #include /etc/nginx/naxsi_core.rules;

        ##
        # nginx-passenger config
        ##
        # Uncomment it if you installed nginx-passenger
        ##

        #passenger_root /usr;
        #passenger_ruby /usr/bin/ruby;

        ##
        # Virtual Host Configs
        ##

        include /etc/nginx/conf.d/*.conf;

        include /etc/nginx/sites-enabled/*;
}
#mail {
#       # See sample authentication script at:
#       # http://wiki.nginx.org/ImapAuthenticateWithApachePhpScript
#
#       # auth_http localhost/auth.php;
#       # pop3_capabilities "TOP" "USER";
#       # imap_capabilities "IMAP4rev1" "UIDPLUS";
#
#       server {
#               listen     localhost:110;
#               protocol   pop3;
#               proxy      on;
#       }
#
#       server {
#               listen     localhost:143;
#               protocol   imap;
#               proxy      on;
#       }
#}

EDIT:

Ufff już jest dobrze to nie chmod na szczęście tylko php nie czyta. Dopiero teraz spróbowałem html i zadziałało. A taki byłem osrany....

[jacekalex]

Ufff już jest dobrze to nie chmod na szczęście tylko php nie czyta. Dopiero teraz spróbowałem html i zadziałało. A taki byłem osrany....

Jak będziesz stawiał cały serwer metodą Copy&Paste, bez kontrolowania, czy po każdej zmianie działa, i bez sprawdzania logów, to ani za trzy lata go nie skonfigurujesz do porządku.
A Nginx z Php-fpm jest tylko troszkę trudniejszy od Apacha, jak kiedyś spróbujesz w ten sposób serwer pocztowy stawiać (Postfix+Dovecot+Spamassasin), to dopiero będziesz miał powody do płaczu.

Każdą robotę trzeba sobie rozłożyć na etapy, i pomiędzy tymi etapami kontrolować, czy poszczególne zmiany się udały, czy nie.

Kod: Zaznacz cały

fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:43:14 [error] 6731#0: *10 connect() failed (111: Connection 

PHP na localhoście lepiej moim zdaniem puścić przez socket UNIX, szybciej to chodzi, i łatwiej wtedy postawić kilka instalacji php dla rożnych Vhostów, w razie potrzeby, i kontrolować
uprawnienia i zmienne php (np openbasedir), rożne php.ini dla vhostów.

Ja PHP robię tak:

Kod: Zaznacz cały

  location ~ \.php$ {
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    # NOTE: You should have "cgi.fix_pathinfo = 0;" in php.ini

    # With php5-cgi alone:
    fastcgi_pass unix:/var/run/php55.sock;
    fastcgi_intercept_errors on;
    fastcgi_buffers 8 16k;
    fastcgi_buffer_size 32k;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    fastcgi_param PHP_ADMIN_VALUE "open_basedir = /gdzie/siedzi/skrypt/php";
    fastcgi_param PHP_ADMIN_VALUE "memory_limit = 64M";

	include /etc/nginx/fastcgi.conf;

W ten sposób można też mieć kilka wersji php na różnych socketach, np równocześnie php5.3 i php5.5.
Php-fpm można odpalać w kilku procesach z rożnymi konfigami, socketami, UID oraz GID.

Pozdro

[unrealx0]

dzięki za odpowiedź i porady
To jest mój 2 vps w życiu. Ale 1 na poważnie czyli od A do Z. Doświadczenia wiele nie mam ale się staram.

PS.
To jest chyba najlepszy temat na jaki trafiłem, w jednym miejscu zdobyłem sporo wiedzy i kilka pojęć.