Użytkownik nobody

Standardowo większość UNIX-owych serwerów jest zdefiniowanych tak, aby program HTTPD uruchamiany był przez użytkownika nobody, należącego do grupy nogroup. Nobodynogroup mają ograniczony dostęp do systemu operacyjnego, mają prawo zapisu tylko w kil­ku katalogach, co oznacza, że nie mogą zmieniać i kasować plików bez uzyskania spe­cjalnych uprawnień.

Uruchamianie serwera WWW przez użytkownika o ograniczonych uprawnieniach jest bar­dzo dobrym pomysłem. W ten sposób nikt z tych, którym uda się uzyskać dostęp do syste­mu za poś­rednictwem serwera, nie będzie mógł wyrządzić żadnych szkód poza wydzielo­nym obsza­rem. Projektowanie stron internetowych WWW. Jeżeli natomiast serwer zostanie uruchomiony przez użytkownika root, wła­my­wacz będzie mógł zrobić dokładnie wszystko to, co zechce, tak więc potencjalne straty mogą być ogromne.

Takie rozwiązanie ma oczywiście również swoje wady. Jeżeli zechcesz, aby serwer, mający uprawnienia użytkownika nobody sam zmienił treść skryptu CGI, będziesz musiał udostęp­nić mu ten plik w pełnym zakresie, tak aby cały świat miał do niego prawo zapisu. W ten sposób każdy będzie mógł zmienić jego treść, w tym momencie musisz wybrać, którą metodę zabez­pieczania danych chcesz zastosować.

Istnieją dwa rozwiązania tego problemu. Pierwszy z nich polega na tym, że należy użytkow­nika nobody uczynić właścicielem wszystkich plików przeznaczonych do zapisu, służy do tego polecenie chown (nie będziesz po nim w stanie nic do nich zapisać, tak więc musisz na pewno wiedzieć co robisz). Drugi sposób to utworzenie specjalnej grupy składającej się z ograni­czonej liczby użytkowników, w tym nobody i uruchomienie serwera HTTPD spod tej grupy (grupę można zmienić w plikach konfiguracyjnych). W ten sposób prawo do zapisu plików bę­dą mieli wszyscy członkowie grupy, a serwer również będzie miał do nich odpo­wiedni dostęp.

Reklamy
  1. No trackbacks yet.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s

Reklamy
%d blogerów lubi to: