ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

 
 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
מיוסט_שרוןלא בפורום כעת ת.הצטרפות: 30/04/2004 · הודעות: 948 · מיקום: ירושלים
 

הודעה פורסם: 17/01/2012 - 13:42
נושא ההודעה: האם הרשאות מונעות לתקית שורש מספיקה

שלום

נניח שיש לי תקיה בשם data
בתוך תקיה data יש לי קבצים ותקיות.

אם אני מגדיר הרשאות לתקיה data בלבד נניח 770 ואני הבעלים של התקיה הזאת נניח sharon

השאלה שלי היא כזאת במידה ושאר התקיות בתוך ה- data מוגדרות עם הרשאות 777 האם יהיה ניתן לגשת אליהם בגלל שהם 777 או שלא יהיה ניתן לגשת אליהם כי הדרך אליהם היא באמצות data ו- data חוסם כל גישה למשתמש אחר.

באופן כללי נסיתי וראיתי שאין גישה למשתמש אחר השאלה שלי היא האם אולי בדרך אחרת יהיה ניתן כן לגשת אליהם ואז כדי לאבטח גם את שאר התיקיות.

תודה
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
Yotambלא בפורום כעת ת.הצטרפות: 06/01/2007 · הודעות: 1598 ·
 

הודעה פורסם: 17/01/2012 - 19:35
נושא ההודעה:

לא יודע לענות על השאלה שלך ספציפית, אבל אני כן יודע שאפשר להגדיר תקייה כלשהי עם 644, למשל, ותקיה בתוכה עם 777, ככה שיש אליה גישה מלאה. לא יודע להגיד לך איך הגישה מתבצעת.
אני נתקל בזה הרבה בעיקר על שרתים, שבהם "ספריית האם" מוגדרת כבלתי נגישה אך ספריית הקוד (בד"כ באפליקציות CGI) מוגדרת כנגישה.
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
מיוסט_שרוןלא בפורום כעת ת.הצטרפות: 30/04/2004 · הודעות: 948 · מיקום: ירושלים
 

הודעה פורסם: 17/01/2012 - 19:58
נושא ההודעה:

Tudmotu :
לא יודע לענות על השאלה שלך ספציפית, אבל אני כן יודע שאפשר להגדיר תקייה כלשהי עם 644, למשל, ותקיה בתוכה עם 777, ככה שיש אליה גישה מלאה. לא יודע להגיד לך איך הגישה מתבצעת.
אני נתקל בזה הרבה בעיקר על שרתים, שבהם "ספריית האם" מוגדרת כבלתי נגישה אך ספריית הקוד (בד"כ באפליקציות CGI) מוגדרת כנגישה.


זה מובן כי התקיה הראשית אצלך היא 644 זה אומר שגם לאחרים יש גישה לתקיה לקריאה

אבל אצלי אני הגדרתי את התקיה הראשית 770 זה אומר שלאחרים אין שום גישה לתקיה הראשית.

תודה
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
צפריראורח · ·
 

הודעה פורסם: 17/01/2012 - 22:09
נושא ההודעה:

התשובה: כן, זה אמור להספיק.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אדיראורח · ·
 

הודעה פורסם: 31/01/2012 - 15:08
נושא ההודעה: בטח שאפשר

צפריר אני לא יודע איך אתה מגיב בכזה ביטחון, בטח שאפשר.

זה אפשרי לגשת לתת התקייה כל עוד התוקף יודע את הנתיב אליה,
לצורך העניין לתקיית האם הוא לא יוכל לגשת ולא יוכל לקרוא את התקיות שבתוכה,
אבל אם מדובר על סכמה ידועה מראש (לדוג: /home/username/domains/example.com/public_html),
גם אם ל- home ול- username אין הרשאות קריאה ל- world, ברגע שיש הרשאות קריאה ל- public_html הוא יצליח לגשת אליה (במידה והוא יודע את ה- username ואת ה- domain).
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
מיוסט_שרוןלא בפורום כעת ת.הצטרפות: 30/04/2004 · הודעות: 948 · מיקום: ירושלים
 

הודעה פורסם: 31/01/2012 - 15:14
נושא ההודעה: Re: בטח שאפשר

אדיר :
צפריר אני לא יודע איך אתה מגיב בכזה ביטחון, בטח שאפשר.

זה אפשרי לגשת לתת התקייה כל עוד התוקף יודע את הנתיב אליה,
לצורך העניין לתקיית האם הוא לא יוכל לגשת ולא יוכל לקרוא את התקיות שבתוכה,
אבל אם מדובר על סכמה ידועה מראש (לדוג: /home/username/domains/example.com/public_html),
גם אם ל- home ול- username אין הרשאות קריאה ל- world, ברגע שיש הרשאות קריאה ל- public_html הוא יצליח לגשת אליה (במידה והוא יודע את ה- username ואת ה- domain).


נסיתי וזה אכן מספיק, אל תשכך שאני הגדרתי את תקית השורש 770

דרך מה נסיתה וזה אכן נותן לגשת אני נסיתי דרך gnome וכן דרך ssh וכן דרך מסוף.

תודה
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אדיראורח · ·
 

הודעה פורסם: 31/01/2012 - 15:24
נושא ההודעה: Re: בטח שאפשר

מיוסט_שרון :
אדיר :
צפריר אני לא יודע איך אתה מגיב בכזה ביטחון, בטח שאפשר.

זה אפשרי לגשת לתת התקייה כל עוד התוקף יודע את הנתיב אליה,
לצורך העניין לתקיית האם הוא לא יוכל לגשת ולא יוכל לקרוא את התקיות שבתוכה,
אבל אם מדובר על סכמה ידועה מראש (לדוג: /home/username/domains/example.com/public_html),
גם אם ל- home ול- username אין הרשאות קריאה ל- world, ברגע שיש הרשאות קריאה ל- public_html הוא יצליח לגשת אליה (במידה והוא יודע את ה- username ואת ה- domain).


נסיתי וזה אכן מספיק, אל תשכך שאני הגדרתי את תקית השורש 770

דרך מה נסיתה וזה אכן נותן לגשת אני נסיתי דרך gnome וכן דרך ssh וכן דרך מסוף.

תודה

אני לא יודע מה בדיוק עשית ומה ניסית לעשות ככה שאני לא רוצה סתם להטעות אותך,
אבל ככה"נ משהו אחר כולא את המשתמש שלך בתקיית הבית שלו.

אני הצלחתי לגשת הן באמצעות SSH והן באמצעות תוכנית PHP (כאשר האפליקציה רצה תחת ה- owner ובמקרה נוסף תחת היוזר apache וכמובן הגדרות משניות כמו safe_mode ו- open_basedir אינן פעילות).
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
מיוסט_שרוןלא בפורום כעת ת.הצטרפות: 30/04/2004 · הודעות: 948 · מיקום: ירושלים
 

הודעה פורסם: 31/01/2012 - 15:29
נושא ההודעה: Re: בטח שאפשר

אדיר :
מיוסט_שרון :
אדיר :
צפריר אני לא יודע איך אתה מגיב בכזה ביטחון, בטח שאפשר.

זה אפשרי לגשת לתת התקייה כל עוד התוקף יודע את הנתיב אליה,
לצורך העניין לתקיית האם הוא לא יוכל לגשת ולא יוכל לקרוא את התקיות שבתוכה,
אבל אם מדובר על סכמה ידועה מראש (לדוג: /home/username/domains/example.com/public_html),
גם אם ל- home ול- username אין הרשאות קריאה ל- world, ברגע שיש הרשאות קריאה ל- public_html הוא יצליח לגשת אליה (במידה והוא יודע את ה- username ואת ה- domain).


נסיתי וזה אכן מספיק, אל תשכך שאני הגדרתי את תקית השורש 770

דרך מה נסיתה וזה אכן נותן לגשת אני נסיתי דרך gnome וכן דרך ssh וכן דרך מסוף.

תודה

אני לא יודע מה בדיוק עשית ומה ניסית לעשות ככה שאני לא רוצה סתם להטעות אותך,
אבל ככה"נ משהו אחר כולא את המשתמש שלך בתקיית הבית שלו.

אני הצלחתי לגשת הן באמצעות SSH והן באמצעות תוכנית PHP (כאשר האפליקציה רצה תחת ה- owner ובמקרה נוסף תחת היוזר apache וכמובן הגדרות משניות כמו safe_mode ו- open_basedir אינן פעילות).


שים לב אצלך זה קורא בגלל שלאפליקציה יש גישה מסויימת לתקית הבית אבל אני אמרתי שאין גישה לתקיה הזו לאף אחד.

תודה
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אדיראורח · ·
 

הודעה פורסם: 31/01/2012 - 15:36
נושא ההודעה: Re: בטח שאפשר

מיוסט_שרון :
אדיר :
מיוסט_שרון :
אדיר :
צפריר אני לא יודע איך אתה מגיב בכזה ביטחון, בטח שאפשר.

זה אפשרי לגשת לתת התקייה כל עוד התוקף יודע את הנתיב אליה,
לצורך העניין לתקיית האם הוא לא יוכל לגשת ולא יוכל לקרוא את התקיות שבתוכה,
אבל אם מדובר על סכמה ידועה מראש (לדוג: /home/username/domains/example.com/public_html),
גם אם ל- home ול- username אין הרשאות קריאה ל- world, ברגע שיש הרשאות קריאה ל- public_html הוא יצליח לגשת אליה (במידה והוא יודע את ה- username ואת ה- domain).


נסיתי וזה אכן מספיק, אל תשכך שאני הגדרתי את תקית השורש 770

דרך מה נסיתה וזה אכן נותן לגשת אני נסיתי דרך gnome וכן דרך ssh וכן דרך מסוף.

תודה

אני לא יודע מה בדיוק עשית ומה ניסית לעשות ככה שאני לא רוצה סתם להטעות אותך,
אבל ככה"נ משהו אחר כולא את המשתמש שלך בתקיית הבית שלו.

אני הצלחתי לגשת הן באמצעות SSH והן באמצעות תוכנית PHP (כאשר האפליקציה רצה תחת ה- owner ובמקרה נוסף תחת היוזר apache וכמובן הגדרות משניות כמו safe_mode ו- open_basedir אינן פעילות).


שים לב אצלך זה קורא בגלל שלאפליקציה יש גישה מסויימת לתקית הבית אבל אני אמרתי שאין גישה לתקיה הזו לאף אחד.

תודה

לאפליקציה אין שום גישה ו/וא קשר לתקית הבית של המשתמש השני,
היא נמצאת בתקייה של משתמש אחר, בבעלות של משתמש אחר.

אני לא יודע להגיד לך אם זה בגלל השפה (ואול בגלל זה סייפמוד ואופן בייסדיר קיימים, למרות שבגרסה 6 של PHP זה כבר ישתנה),
אבל כל עוד אין כליאה כלשהי של המשתמש בתקייה שלו שמונעת ממנו לצאת ממנה,
הוא יוכל לקרוא קבצים ותקיות שמאפשרים קריאה ל- world.

אולי זה גם עונה על ה- "אולי בדרך אחרת" שציינת בהודעה המקורית,
בכל אופן ולסיכום הדברים - זה אפשרי.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 31/01/2012 - 16:00
נושא ההודעה:

לא נשמע לי הגיוני, ובנסיונות שלי - לא עבד.
תוכל לתת פירוט מדויק של מבנה הספריות + הרשאות של כולן, ואת המשתמש שמריץ את האפליקציה (ssh / php)?
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 31/01/2012 - 17:16
נושא ההודעה:

אולי אני מפספס משהו, אבל לי זה לא עובד:

קוד:
# mkdir -p 1/2
# echo hello > 1/2/3
# sudo chown root:root 1
# sudo chmod 770 1
# cat 1/2/3
cat: 1/2/3: Permission denied

(וכיון שאני ה OWNER של 2/3 אני חושש שאני מפספס משהו...)
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
מיוסט_שרוןלא בפורום כעת ת.הצטרפות: 30/04/2004 · הודעות: 948 · מיקום: ירושלים
 

הודעה פורסם: 31/01/2012 - 18:36
נושא ההודעה:

Anonymous :
אולי אני מפספס משהו, אבל לי זה לא עובד:

קוד:
# mkdir -p 1/2
# echo hello > 1/2/3
# sudo chown root:root 1
# sudo chmod 770 1
# cat 1/2/3
cat: 1/2/3: Permission denied

(וכיון שאני ה OWNER של 2/3 אני חושש שאני מפספס משהו...)


כיוון שתקיה 1 היא בהרשאות אך ורק ל- root לכן אין גישה לשאר התיקיות למרות שאתה הבעלים שלהם, ולכן זה מסביר את מה שאני אומר שזה אכן מספיק שתיקית השורש היא מונעת כניסה לשאר התיקיות.

תודה
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אדיראורח · ·
 

הודעה פורסם: 04/02/2012 - 03:07
נושא ההודעה:

חברים.. אני מבין אתכם, מה שאתם אומרים הגיוני ונכון.

מה שאני מנסה להגיד זה שאפשר לעקוף את זה, תכתבו תוכנית פשוטה ב- PHP שמבצעת קריאה לקובץ כלשהי (סתם fopen פשוט), תבצעו את הבדיקה שוב וכעת דרך התוכנית ותראו שהיא יכולה לגשת לקובץ הזה כל עוד הוא עצמו בעל הרשאות קריאה ל- world (כנראה אין שם בדיקה של תקיות השורש).
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 04/02/2012 - 03:59
נושא ההודעה:

אדיר :
חברים.. אני מבין אתכם, מה שאתם אומרים הגיוני ונכון.

מה שאני מנסה להגיד זה שאפשר לעקוף את זה, תכתבו תוכנית פשוטה ב- PHP שמבצעת קריאה לקובץ כלשהי (סתם fopen פשוט), תבצעו את הבדיקה שוב וכעת דרך התוכנית ותראו שהיא יכולה לגשת לקובץ הזה כל עוד הוא עצמו בעל הרשאות קריאה ל- world (כנראה אין שם בדיקה של תקיות השורש).

בדקתי את זה קצת יותר לעומק,
תנאי נוסף לביצוע הקריאה הוא הרשאת execute ל- world עבור כלל התיקיות בעץ.

טעיתי והטעתי בהתחלה כשאמרתי שלא צריך שום הרשאה כלל עבור התקיות ל- world.
צריך execute כדי שתוכל בעצם לעבור דרך התקיות (לא תוכל לקרוא את תוכן הקבצים שבהן, אבל תוכל לעבור דרכן עד שתגיע לקובץ שאותו כן תוכל לקרוא אם קיים כזה).
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
הצגת הודעות מלפני:     
מעבר אל:  
כל הזמנים הם GMT + 2 שעות
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
PNphpBB2 © 2003-2004 

תוכן הדיון

  1. מיוסט_שרון
  2. Yotamb
  3. מיוסט_שרון
  4. אורח [צפריר]
  5. אורח [אדיר]
  6. מיוסט_שרון
  7. אורח [אדיר]
  8. מיוסט_שרון
  9. אורח [אדיר]
  10. אורח
  11. אורח
  12. מיוסט_שרון
  13. אורח [אדיר]
  14. אורח