WinSCP a uzivatel www-data

10. 3. 2014 23:39:42

Ahoj,

edituju weby na serveru pres winSCP a neustale bojuju s pravy uzivatele. Podotykam, ze je to ubuntu server, cili nemam pristup na roota a ve winSCP nemuzu pouzivat sudo - tim se to cele komplikuje.

Ale k veci. Vyresil jsem to tak, ze jsem sveho uzivatele prihodil do skupiny www-data, takze muzu i bez suda a roota "sahat" na soubory webu. Prusvih je, ze pri kopirovani novych souboru je vlastnikem muj uzivatel a ne www-data. Tzn. kdyz si nenastavim chown (zapomenu nastavit treba uz pri kopirovani), aby skupina mohla vsechno, nezbyde mi, nez jit do terminalu a udelat rekurzivni chown, abych vubec mohl smazat soubory, protoze z bezneho uzivatele, i kdyz je ve skupine www-data s nima nic nenadelam.

Jak to safra elegantne vyresit? nastavit uzivateli www-data heslo a prihlasovat se primo pod nim? Neudelam si tak diru do systemu?

Diky za kazdou dobrou radu.

10. 3. 2014 23:39:42

https://webtrh.cz/diskuse/winscp-a-uzivatel-www-data/#reply1004316

Jan Stejskal

(7 hodnocení)

10. 3. 2014 23:50:00

Potencionálně to díra bude. Standardně uživatel pro zalogování nemá práva prakticky pro nic a až po zalogování se přepnete na uživatele, která ta oprávnění má. S uploadem tedy tak, že upload proběhne do domovského adresáře uživatele bez práv, pak se přepnete a soubory zkopírujete pod uživatelem s oprávněním. To je z pohledu bezpečnosti správné řešení, leč trochu nepraktické.

10. 3. 2014 23:50:00

https://webtrh.cz/diskuse/winscp-a-uzivatel-www-data/#reply1004315

darksir

(1 hodnocení)

10. 3. 2014 23:57:11

Jasne, tomu rozumim, jen by mne zajimalo, jak se to da resit prakticky :-) Jak to vubec delaji hostingy? Kdyz neco nahravam pres FTP, tak se to nahrava pod uzivatelem jmenodomeny a je ve skupine www-data? Cili muze sahat na sve soubory a soucasne k tomu muze apache i php?

Nastavil jsem si winSCP at mi defaultne kopiruje s pravy 744, coz by melo stacit, ne ? Cili budu mit soubory pod svym uzivatelem, snad to nebude nicemu vadit. Stejne, kdyz se nekdo naboura na muj ucet, co mu brani v tom, udelat sudo? Prijde mi to cele trochu pritazene za vlasy.

10. 3. 2014 23:57:11

https://webtrh.cz/diskuse/winscp-a-uzivatel-www-data/#reply1004314

James_Scott

(7 hodnocení)

11. 3. 2014 03:06:19

Hostingy, nebo vsichni kterym zalezi trosku na bezpecnosti to resi v podstate 2 zpusoby:

1) FastCGI + suexec

2)Apache-mpm-itk

Zaklad je docilit toho, aby měl kazdej web svyho uzivatele.

Jinak na Ubuntu se da prihlasovani pod rootem samozrejme zapnout..

11. 3. 2014 03:06:19

https://webtrh.cz/diskuse/winscp-a-uzivatel-www-data/#reply1004313

Ing. Josef Vrba

(7 hodnocení)

11. 3. 2014 06:41:36

A winSCP podporuje i přepnutí uživatele ihned po přihlášení (obdobně jako když se přihlašuješ přes ssh).

11. 3. 2014 06:41:36

https://webtrh.cz/diskuse/winscp-a-uzivatel-www-data/#reply1004312

darksir

(1 hodnocení)

11. 3. 2014 10:51:16

To se mi zaboha nepovedlo... pockat, nemyslis tim sudo, ale "prehlaseni" se pod www-data? Ja ho nemohl donutit udelat ani sudo, coz je taky skoda, protoze se pres nej celkem dobre edituji konfiguraky, jenomze takhle mne to stejne skoro nikam nepusti. Na debianu je to jednoduche, prihlasim se pod rootem a makam, ale porad mam nejake zabrany, nastavit na tom ubuntu rootovi heslo.

Napsal jvic;1066200
A winSCP podporuje i přepnutí uživatele ihned po přihlášení (obdobně jako když se přihlašuješ přes ssh).

11. 3. 2014 10:51:16

https://webtrh.cz/diskuse/winscp-a-uzivatel-www-data/#reply1004311

Jan Stejskal

(7 hodnocení)

11. 3. 2014 14:11:42

Toho bych se nebál, nastavte root heslo, ALE zakažte přístup přes ssh pro roota. Pak se přihlásíte pod uživatelem bez práv a ihned se přepnete na roota.

11. 3. 2014 14:11:42

https://webtrh.cz/diskuse/winscp-a-uzivatel-www-data/#reply1004310

Ing. Josef Vrba

(7 hodnocení)

11. 3. 2014 15:38:15

V českém WinSCP mám:

Prostředí > SCP/Shell > Shell > Shell > "Výchozí"

A do rozbalovátka jak je napsáno "výchozí" jsem zapsal "su_www". Což je u nás příkaz pro přepnutí se do uživatele www-data.

11. 3. 2014 15:38:15

https://webtrh.cz/diskuse/winscp-a-uzivatel-www-data/#reply1004309

Jirka

(6 hodnocení)

11. 3. 2014 17:58:53

Pokud nema kazdy web sveho uzivatele neslo by to udelat treba takto?

- Apache bezi pod uzivatelem www-data a skupinou www-data

- Ftp server bezi pod uzivatelem www-data a skupinou www-data

- Ja pouzivam PureFTPD a pridavam uzivatele pouze pro pristup k FTP serveru, ale soubory maji prava uzivatele a skupiny, pod kterou bezi FTP demon.

- WinSCP se myslim umi pripojit na ftp a zabezpecit prenos jde pres ftp tez.

11. 3. 2014 17:58:53

https://webtrh.cz/diskuse/winscp-a-uzivatel-www-data/#reply1004308

darksir

(1 hodnocení)

11. 3. 2014 21:02:33

Napsal majkro;1066482
- WinSCP se myslim umi pripojit na ftp a zabezpecit prenos jde pres ftp tez.

Jenomze tim zabiju tu nejpodstatnejsi vyhodu winSCP a to, ze nemusim mit na serveru zadne FTP - jenom dalsi potencialni dira a vsechno bezi pres ssh, ktere pouzivam pro vsechno. Za vsechno muze jen ta podelana ubuntacka paranoia z roota :-)

Jdu zkusit prinutit winscp at se prehlasi na www-data, to by mi i stacilo a do budoucna stejne budu spise pokukovat po debianu.

11. 3. 2014 21:02:33

https://webtrh.cz/diskuse/winscp-a-uzivatel-www-data/#reply1004307

Jirka

(6 hodnocení)

11. 3. 2014 21:24:48

Napsal darksir;1066548
Jenomze tim zabiju tu nejpodstatnejsi vyhodu winSCP a to, ze nemusim mit na serveru zadne FTP - jenom dalsi potencialni dira a vsechno bezi pres ssh, ktere pouzivam pro vsechno. Za vsechno muze jen ta podelana ubuntacka paranoia z roota :-)
Jdu zkusit prinutit winscp at se prehlasi na www-data, to by mi i stacilo a do budoucna stejne budu spise pokukovat po debianu.

A SSH nemuze byt dira? ;) To ftp si na firewallu taky muzes povolit jen z nejake IP a na jinem portu.

11. 3. 2014 21:24:48

https://webtrh.cz/diskuse/winscp-a-uzivatel-www-data/#reply1004306

darksir

(1 hodnocení)

11. 3. 2014 21:53:59

Napsal majkro;1066556
A SSH nemuze byt dira? ;) To ftp si na firewallu taky muzes povolit jen z nejake IP a na jinem portu.

Jenze bez ssh nemuzu zit (potrebuju vzdaleny terminal), bez ftp docela dobre jo :-) a lepsi jedna dira, nez dve... :-)

11. 3. 2014 21:53:59

https://webtrh.cz/diskuse/winscp-a-uzivatel-www-data/#reply1004305

Jirka

(6 hodnocení)

11. 3. 2014 23:56:42

Napsal darksir;1066564
Jenze bez ssh nemuzu zit (potrebuju vzdaleny terminal), bez ftp docela dobre jo :-) a lepsi jedna dira, nez dve... :-)

Ja jsem nedaval navod na spokojeny a stastny zivot, ale na zpusob jak si spravovat weby a nerozbijet prava.

Vzdycky se usmeju nad tim, kdyz si nekdo mysli, jak je potreba zabezpecit toto a tamto a nekonec je nejvetsi dira jeho vlastni chovani na jeho vlastnim pc.

11. 3. 2014 23:56:42

https://webtrh.cz/diskuse/winscp-a-uzivatel-www-data/#reply1004304

Ing. Josef Vrba

(7 hodnocení)

12. 3. 2014 09:58:59

FTP je největší díra ze všech. Odchytnou nezašifrovanou FTP komunikace nebo použití typických FTP klientů s ukládáním hesel.... K nezaplacení :-)

12. 3. 2014 09:58:59

https://webtrh.cz/diskuse/winscp-a-uzivatel-www-data/#reply1004303

darksir

(1 hodnocení)

12. 3. 2014 11:57:44

majkro : ok, diky tedy za tvuj navod, jak to spravovat pres FTP, ale ja presto zustanu u SSH. Kvuli par webum , ke kterym pristupuju jen ja (je to server na ladeni, ne ostry provoz) si nebudu spoustet FTP. To uz bych mohl rovnou pridat i sambu, atd. Prave proto, abych predesel moznym uzivatelskym chybam se drzim hesla, cim mene sluzeb, tim mene moznych uzivatelskych chyb pri nastavovani.

12. 3. 2014 11:57:44

https://webtrh.cz/diskuse/winscp-a-uzivatel-www-data/#reply1004302