[Soci SLIP] disabilitare SUDO

llcfree llcfree a gmail.com
Dom 19 Feb 2012 19:36:32 CET

Messaggio precedente: [Soci SLIP] disabilitare SUDO
Prossimo messaggio: [Soci SLIP] [Arduino] proteggere i pin
Messaggi ordinati per: [ Data ] [ Thread ] [ Oggetto ] [ Autore ]

On Sun, 2012-02-19 at 18:48 +0100, Lucio Crusca wrote:
> In data domenica 19 febbraio 2012 16:39:56, Lucio Crusca ha scritto:
> > In data sabato 18 febbraio 2012 18:51:18, llcfree ha scritto:
> > > > $ sudo chgrp -R $(whoami) /var/www
> > > > $ sudo chmod -R g+w /var/www
> > > > $ sudo find /var/www -type d -exec chmod g+s \{\} \;
> > > > $ echo "umask 002" >> $HOME/.bashrc
> > > 
> > > Ma non e' meglio e piu' pulito aggiungere l'utente al gruppo www-data
> > > e lasciare le ownerships di default che son fatte apposta per www?
> > 
> > Sì probabilmente hai ragione
> 
> No, mi rimangio tutto, probabilmente è meglio cambiare i permessi a /var/www, 
> perché, almeno sul mio sistema debian, i permessi di default sono 755 con 
> gruppo root come gruppo prorietario (non www-data), quindi cambiare il gruppo 
> all'utente implicherebbe o farlo diventare parte del gruppo root, che dal 
> punto di vista della sicurezza non è raccomandabile, oppure cambiare in ogni 
> caso il gruppo ed i permessi di /var/www, oltre che dell'utente: a questo 
> punto tanto vale farlo solo per /var/www e lasciare tranquillo (e più sicuro) 
> l'utente.

No, basta aggiungere l'utente (senza privilegi di amministratore) al
gruppo www-data, come dicevo.

Comunque, i permessi di cosa? I permessi della directory /var/www sono,
debian o no:

drwxr-xr-x   6 root root   4096 2011-11-12 12:13 www

Questo serve a proteggere la directory www, che puo' essere modificata,
giustamente, solo con privilegi di root, mentre deve essere
attraversabile e leggibile da tutto il mondo, visto che l'idea e' che
uno il suo sito web pubblico lo metta li' (non necessariamente, ma di
default e' cosi'). Parlo di un mondo in cui uno il server ce l'ha in
casa, come succede normalmente in certi ambienti, di lavoro o di studio.

Nella directory www, root genera una directory per il sito (o una per
ogni sito) e ne assegna i permessi, normalmente ad un utente che NON ha
privilegi di amministratore e sta nel gruppo www-data, permessi 755.  

Questo e' l'utente che costruisce il sito (cioe' che ci deve poter
scrivere dentro) ed e' anche l'unico a poterlo fare, oltre a root.
Cosi', crackers a parte, il sito e' modificabile solo dall'utente
designato dall'amministratore e quell'utente puo' solo modificare quel
sito e non eventualmente gli altri, che stiano anche loro in /var/www.

Perlomeno, cosi' e' come la capisco io (ed e' anche come ho fatto io, a
suo tempo). 

I permessi della /var/www sono studiati apposta per il servizio che deve
fare e le protezioni sono le migliori, date le condizioni al contorno.
Bisogna immaginarsi una /var/www in cui ci sia piu' d'una root per piu'
di un sito per capire perche' devono essere cosi'. In generale, siccome
i siti web, copia locale o meno, per essere testati devono ovviamente
essere testati dalla rete, non dalla propria macchina, e siccome magari
la copia locale viene poi spostata in toto nella sua destinazione
finale, permessi inclusi, io ci farei comunque un po' attenzione.

Loredana

Messaggio precedente: [Soci SLIP] disabilitare SUDO
Prossimo messaggio: [Soci SLIP] [Arduino] proteggere i pin
Messaggi ordinati per: [ Data ] [ Thread ] [ Oggetto ] [ Autore ]

Maggiori informazioni sulla lista Soci