VanoID 0 Опубликовано: 30 июля Рассказать Опубликовано: 30 июля Всем доброго времени суток. Кто-нибудь обладает информацией, как можно сделать бэкап базы данных под именем другого владельца, не apache? А то старые бэкапы из директории на ftp не дает удалять. :( Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 066 Опубликовано: 30 июля Рассказать Опубликовано: 30 июля Установите CHMOD 666 и удаляйте. Либо смените владельца от имени адмистратора командой chown --recursive имявладельца:имявладельца /var/www/и тд полный путь к папке https://losst.pro/komanda-chown-linux?ysclid=lz8m0wcwnj489359092 Цитата Ссылка на сообщение Поделиться на других сайтах
VanoID 0 Опубликовано: 30 июля Рассказать Опубликовано: 30 июля Автор 1 час назад, celsoft сказал: Установите CHMOD 666 и удаляйте. Либо смените владельца от имени адмистратора командой chown --recursive имявладельца:имявладельца /var/www/и тд полный путь к папке https://losst.pro/komanda-chown-linux?ysclid=lz8m0wcwnj489359092 чмод 666 не поможет - это надо не у файла 666, а у директории 777 ставить, а это сразу сделает сайт уязвимым. разве что на время... А когда сменил владельца папки, тогда бэкап просто перестал бэкапить. :( Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 066 Опубликовано: 30 июля Рассказать Опубликовано: 30 июля 1 час назад, VanoID сказал: а у директории 777 ставить, а это сразу сделает сайт уязвимым Сами это придумали или подсказал кто? Права не делают сайты уязвимыми, уязвимыми может быть только ПО а не права. И если вы не ставите на свой сервер непонятно что, то и проблем никаких нет и быть не может. DLE предписывает ставить на эту папку права 777 согласно инструкции по установке и никаких проблем с безопасностью не имеет. У вас DLE пишет в эту папку файлы бекапов, а значит Апач и скрипты домена уже имеют права на запись туда, и если бы какие то уязвимости были то воспользоваться ими можно было без 777 прав, потому как без них есть права записи у вебсервера. Защищаться от уязвимости нужно на уровне ПО, а именно не ставить неизвестно что и неизвестно откуда, пользоваться только оригинальным ПО и актуальными версиями ПО, а не на уровне прав к папкам. Более того если вы умышленно не меняли владельца этой папки и при этом DLE может вам писать файлы бекапов в эту папку без 777 прав, это значит ваш сервер вообще настроен небезопасно потому как значит через PHP у вас можно писать куда угодно в какую угодно папку, вебсервер Апач у вас работает от имени владельца корневой папки домена, чего на правильно настроенном сервере быть не должно. Потому как при копировании по FТP когда вы ставите DLE на сервер первый раз, владельцем папки является именно FTP, и только работая от пользователя с правами выше Апач может обойти это ограничение и писать без 777, а значит сам может менять какие угодно права на любые, так как по умолчанию является владельцем всех папок и файлов, что точно серьезно снижает уровень безопасности если вы о ней думаете. Это не значит что такая конфигурация серверного ПО это прямая уязвимость и можно взломать, потому как я уже сказал выше, не права а ПО за это отвечает, но уровень безопасности сервера в целом при такой конфигурации очень значительно падает. Падает она потому что Апач первым подвергается атаке, он принимает входящие запросы, он обрабатывает скрипты, и соответственно является первой линией защиты, и если эта линия падет под натиском злоумышленников, то у вас эта линия является владельцем и им дальше ничего не нужно больше делать ))) они автоматом получат полный контроль над всем, других линий защиты в виде тех же прав, уже не останется и пофиг какие у вас там права, владелец может все )) Если сайтов несколько то разграничивать нужно доступ уже на уровне настроек сайтов, например при помощи того же open_basedir. или апач для каждого сайта запускать от уникального пользователя. А про то что уязвимость появлятся с правами 777, а без них все безопасно, это конечно сильно сказано, но не соответствует действительности. 4 часа назад, VanoID сказал: Кто-нибудь обладает информацией, как можно сделать бэкап базы данных под именем другого владельца, не apache? А конкретно на этот вопрос ответ: Нет. Кто создает файл тот его и владелец и другого быть не может. И кто запускает PHP интерпретатор, тот и является владельцем, будь то Апач, или Nginx неважно. А вот назначить чтобы сам Апач запускался от имени другого пользователя можно. Это вам уже в службу поддержки вашего хостинга, за консультацией по настройки Апача, у всех это по разному, и не у всех это разрешено делать, тут все от хостинга напрямую зависит. Но могу точно и определенно сказать, что запускать апач от имени пользователя с правами выше, например аккаунта, или того же FTP, это снижение безопасности еще более существенное чем права на папку, потому как вебсервер будет иметь доступ на запись ко всему, а не только на одну папку. Самое правильное и безопасное это запускать вебсервер именно от отдельного пользователя вебсервера, именно по этому это и есть по умолчанию в серверном ПО, а не просто так. И именно по этому согласно инструкции нужно при установке DLE копировать файлы дистрибутива DLE на сервер по FTP, и только на нужные указанные папки изменить права, при этом и FTP и вебсервер должны работать от разных пользователей, чтобы тем самым максимально разграничить доступ к разным данным и сделать сервер максимально безопасными. Цитата Ссылка на сообщение Поделиться на других сайтах
VanoID 0 Опубликовано: 4 августа Рассказать Опубликовано: 4 августа Автор спасибо за все ответы по поводу 777 вопрос спорный. есть пример, когда был подключен только апач, но взломали через 777 на каталоге. не будем разводить флейм. еще раз, спасибо вам большое за консультацию. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 066 Опубликовано: 4 августа Рассказать Опубликовано: 4 августа 3 часа назад, VanoID сказал: по поводу 777 вопрос спорный. есть пример, когда был подключен только апач, но взломали через 777 на каталоге. Хорошо, Вам виднее ))). Не буду вас переубеждать. Зачем? Лишено практического смысла. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.