[]
Bir linux - webserver administration sorusu
Şimdi bir LAMP setupta çalışan uygulamam var,
1) php scriptim serverdaki binary bir programı çalıştırıp onun elde ettiği çıktıyı kullanıyor. bu çalıştırdığı program, çalıştıran kullanıcının bir home folderı olmasını istiyor ve bu foldra yazma yetkisinin olmasını istiyor. apache tarafından default tanımlı ve apache proseslerinin kullandığı pseudouser'ın ismi www-data (debian tabanlı bir sistem). Bu vatandaşın yetkileri naparsam yapayım programda sorun çıkartıyor. ben de şöyle bir şey yaptım: sndadmin diye bir user oluşturdum, sadece kendi home klasörüne yazabiliyor, ve başka hiç bir gruba üye değil, sudo yetkisi falan da yok. sonra apache beyin kullandığı userı sndadmin yaptım (/etc/apache2/envvars altından), ve home directory olarak bunun directorysini verdim, programım oldukça güzel çalışıyor.
merakım, yaptığım bu ayarın akıl edemediğim fantastik bir güvenlik açığı yaratıp yaratmayacağı, yani durum şöyle:
apache'nin kullandığı www-data user'ı yerine benim yarattığım, hiç bir gruba üye olmayan ve sadece kendi home folderına yazabilen yeni bir user'ı kullanıyor, ve çalıştırdığı programı bu user ile çalıştırıyor. burada ciddi bir sorun var mı?
1) php scriptim serverdaki binary bir programı çalıştırıp onun elde ettiği çıktıyı kullanıyor. bu çalıştırdığı program, çalıştıran kullanıcının bir home folderı olmasını istiyor ve bu foldra yazma yetkisinin olmasını istiyor. apache tarafından default tanımlı ve apache proseslerinin kullandığı pseudouser'ın ismi www-data (debian tabanlı bir sistem). Bu vatandaşın yetkileri naparsam yapayım programda sorun çıkartıyor. ben de şöyle bir şey yaptım: sndadmin diye bir user oluşturdum, sadece kendi home klasörüne yazabiliyor, ve başka hiç bir gruba üye değil, sudo yetkisi falan da yok. sonra apache beyin kullandığı userı sndadmin yaptım (/etc/apache2/envvars altından), ve home directory olarak bunun directorysini verdim, programım oldukça güzel çalışıyor.
merakım, yaptığım bu ayarın akıl edemediğim fantastik bir güvenlik açığı yaratıp yaratmayacağı, yani durum şöyle:
apache'nin kullandığı www-data user'ı yerine benim yarattığım, hiç bir gruba üye olmayan ve sadece kendi home folderına yazabilen yeni bir user'ı kullanıyor, ve çalıştırdığı programı bu user ile çalıştırıyor. burada ciddi bir sorun var mı?
dear kurukafa ;
açıkçası soruna cevap veremeyeceğim fakat , başka bir alternatif sunmayı deneyeyim.
basit bir sh scripti yazarak , sh scriptinde su/sudo gibi süper fantastik olayları kullanıp root olduktan sonra programı root yetkileriyle çalıştırabilirsin.
php'den de bu sh scriptini çalıştırırsan , belki apache kullanıcısının yetkilerine hiç dokunmadan bu sorunu çözebilirsin.
açıkçası soruna cevap veremeyeceğim fakat , başka bir alternatif sunmayı deneyeyim.
basit bir sh scripti yazarak , sh scriptinde su/sudo gibi süper fantastik olayları kullanıp root olduktan sonra programı root yetkileriyle çalıştırabilirsin.
php'den de bu sh scriptini çalıştırırsan , belki apache kullanıcısının yetkilerine hiç dokunmadan bu sorunu çözebilirsin.
- alwaysdrunk
(02.02.09 10:33:50)
1
