Resultaten 1 tot 11 van de 11
  1. #1
    mod_ruid2 directory permissies
    geregistreerd gebruiker
    5 Berichten
    Ingeschreven
    27/12/18

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: Peter

    Thread Starter

    mod_ruid2 directory permissies

    Mijn server is net geupgrade naar PHP7, apache2.4 en daarbij is ook mod_ruid2 geinstalleerd. Doordat hierdoor httpd loopt als user ipv apache, heeft deze bij een vulnerability toegang tot de complete user directory, en in dit geval ook tot de andere websites, omdat alle websites draaien onder 1 user.
    Op dit moment zijn de permissies:

    Code:
    user:user     755 /home/user/
    user:user     755 /home/user/domains/
    user:user     755 /home/user/domains/domain1.com/
    user:user     755 /home/user/domains/domain1.com/public_html/
    user:user     755 /home/user/domains/domain1.com/public_html/no_need_for_writing/
    user:user     755 /home/user/domains/domain1.com/public_html/needs_to_be_writable_by_apache/
    user:user     755 /home/user/domains/domain2.com/public_html/
    user:user     755 /home/user/domains/domain2.com/public_html/no_need_for_writing/
    user:user     755 /home/user/domains/domain2.com/public_html/needs_to_be_writable_by_apache/
    De 'needs_to_be_writable...' dirs waren voorheen eigendom van apache:apache. Hoe kan ik het beste de permissions instellen om schade tgv vulnerabilities te verkleinen, of zijn er andere mogelijkheden?
    Laatst gewijzigd door Flabbergasted; 28/12/18 om 18:29. Reden: tekstopmaak

  2. #2
    mod_ruid2 directory permissies
    Professional
    2.960 Berichten
    Ingeschreven
    05/02/05

    Locatie
    Alkmaar

    Post Thanks / Like
    Mentioned
    7 Post(s)
    Tagged
    0 Thread(s)
    101 Berichten zijn liked


    Naam: Thomas
    Registrar SIDN: JA
    ISPConnect: Lid
    KvK nummer: 37124732

    en in dit geval ook tot de andere websites, omdat alle websites draaien onder 1 user.
    Er is maar 1 nette oplossing en dat is losse gebruikers aanmaken.

  3. #3
    mod_ruid2 directory permissies
    PingOps BV
    3.958 Berichten
    Ingeschreven
    09/12/05

    Locatie
    Almere

    Post Thanks / Like
    Mentioned
    10 Post(s)
    Tagged
    0 Thread(s)
    76 Berichten zijn liked


    Naam: Ramon Fincken
    Bedrijf: Managed WordPress Hosting / PingOps BV / MijnPress.nl
    Functie: CEO
    URL: www.managedwphosting.nl
    Registrar SIDN: Nee
    KvK nummer: 30262182
    TrustCloud: ramonfincken
    View ramonfincken's profile on LinkedIn

    Citaat Oorspronkelijk geplaatst door ju5t Bekijk Berichten
    Er is maar 1 nette oplossing en dat is losse gebruikers aanmaken.
    Amen. Iedere site zijn eigen DA account .

    Dus NIET meerdere accounts met 1 inlog.
    WordPress hosting Optimalisatie webbouw debugging door WP Core developers

  4. #4
    mod_ruid2 directory permissies
    geregistreerd gebruiker
    5 Berichten
    Ingeschreven
    27/12/18

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: Peter

    Thread Starter
    Dank, dat vermoedde ik al. Neemt niet weg dat ik dan nog altijd de apache user niet kan beperken tot bepaalde dirs binnen een site. Kan dat ook met ruid2? Ik heb geprobeerd om
    Code:
    RUidGid apache apache
    in te stellen, maar dan kan apache - zelfs bij een site met alleen een html-bestand - helemaal niets meer vinden.

  5. #5
    mod_ruid2 directory permissies
    Professional
    2.960 Berichten
    Ingeschreven
    05/02/05

    Locatie
    Alkmaar

    Post Thanks / Like
    Mentioned
    7 Post(s)
    Tagged
    0 Thread(s)
    101 Berichten zijn liked


    Naam: Thomas
    Registrar SIDN: JA
    ISPConnect: Lid
    KvK nummer: 37124732

    Citaat Oorspronkelijk geplaatst door Flabbergasted Bekijk Berichten
    Dank, dat vermoedde ik al. Neemt niet weg dat ik dan nog altijd de apache user niet kan beperken tot bepaalde dirs binnen een site. Kan dat ook met ruid2? Ik heb geprobeerd om
    Code:
    RUidGid apache apache
    in te stellen, maar dan kan apache - zelfs bij een site met alleen een html-bestand - helemaal niets meer vinden.
    Waarom wil je de apache gebruiker nog toegang geven? Dat is namelijk niet meer nodig en zou het juist onveiliger maken.

  6. #6
    mod_ruid2 directory permissies
    geregistreerd gebruiker
    5 Berichten
    Ingeschreven
    27/12/18

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: Peter

    Thread Starter
    Citaat Oorspronkelijk geplaatst door ju5t Bekijk Berichten
    Waarom wil je de apache gebruiker nog toegang geven? Dat is namelijk niet meer nodig en zou het juist onveiliger maken.
    Ook in de situatie dat apache als user alleen binnen public_html van de eigen site rechten heeft, kan het die gehele website wissen. Ik zou dus graag ook binnen een site de rechten van apache willen beperken tot een paar directories. Ik kan dan ook makkelijker zoeken naar hackscripts omdat deze eigendom zijn van de apache user.

  7. #7
    mod_ruid2 directory permissies
    moderator
    5.909 Berichten
    Ingeschreven
    21/05/03

    Locatie
    NPT - BELGIUM

    Post Thanks / Like
    Mentioned
    38 Post(s)
    Tagged
    0 Thread(s)
    481 Berichten zijn liked


    Naam: Dennis de Houx
    Bedrijf: All In One
    Functie: Zaakvoerder
    URL: www.all-in-one.be
    Ondernemingsnummer: 0867670047

    Volgens mij lees je @ju5t zijn bericht niet "goed", waarom zou je uberhaupt nog apache/httpd/www-data rechten willen geven binnen je user account. Het is juist de bedoeling om alles wat binnen je user(account) staat ook als die user te runnen, anders ontgaat mij het nut om alles in afzonderlijke users/cages/jails te steken.
    Dennis de Houx - All In One ~ Official ISPsystem partner

    Lees hier de webhostingtalk.nl forum regels en voorwaarden!

  8. #8
    mod_ruid2 directory permissies
    Professional
    2.960 Berichten
    Ingeschreven
    05/02/05

    Locatie
    Alkmaar

    Post Thanks / Like
    Mentioned
    7 Post(s)
    Tagged
    0 Thread(s)
    101 Berichten zijn liked


    Naam: Thomas
    Registrar SIDN: JA
    ISPConnect: Lid
    KvK nummer: 37124732

    Ik snap het wel. Er is wel een verschil tussen mod_ruid2 en de vorige setup.

    • In de vorige setup kon Apache alleen bestanden plaatsen in specifieke mappen.
    • In de nieuwe setup kan een gebruiker alle bestanden aanpassen die van de gebruiker zijn.


    Ik zie het voordeel wel van de vorige setup maar er zitten een paar grote nadelen aan vast.

    • De apache gebruiker moet alles kunnen lezen. Website A kan ook de configuratie bestanden en wachtwoorden lezen van website B.
    • De apache gebruiker kan in zowel website A als website B bestanden wegschrijven.


    Als je een gebruiker per website hebt ben je tegen beide nadelen beschermd maar heeft een gebruiker wel toegang tot alle eigen bestanden. Maar dit zou niet op moeten wegen tegen de problemen van het gebruiken van de apache gebruiker voor alle websites.
    Laatst gewijzigd door ju5t; 29/12/18 om 18:15.

  9. #9
    mod_ruid2 directory permissies
    geregistreerd gebruiker
    5 Berichten
    Ingeschreven
    27/12/18

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: Peter

    Thread Starter
    Citaat Oorspronkelijk geplaatst door ju5t Bekijk Berichten
    Als je een gebruiker per website hebt ben je tegen beide nadelen beschermd maar heeft een gebruiker wel toegang tot alle eigen bestanden. Maar dit zou niet op moeten wegen tegen de problemen van het gebruiken van de apache gebruiker voor alle websites.
    Ja, dat dus. Het was een flinke klus om alle sites naar eigen users te migreren, maar ik begin er de voordelen van in te zien. Het blijkt ook zo te zijn dat apache geen bestanden van andere users buiten de eigen homedir kan lezen, ook al zijn deze publiek leesbaar.
    Moet nog wel m'n rsync backup script gaan herschrijven...

  10. #10
    mod_ruid2 directory permissies
    PingOps BV
    3.958 Berichten
    Ingeschreven
    09/12/05

    Locatie
    Almere

    Post Thanks / Like
    Mentioned
    10 Post(s)
    Tagged
    0 Thread(s)
    76 Berichten zijn liked


    Naam: Ramon Fincken
    Bedrijf: Managed WordPress Hosting / PingOps BV / MijnPress.nl
    Functie: CEO
    URL: www.managedwphosting.nl
    Registrar SIDN: Nee
    KvK nummer: 30262182
    TrustCloud: ramonfincken
    View ramonfincken's profile on LinkedIn

    Heb je wellicht basedir in gebruik? mogelijk kan het dan wel (buiten je eigen homedir lezen)
    WordPress hosting Optimalisatie webbouw debugging door WP Core developers

  11. #11
    mod_ruid2 directory permissies
    geregistreerd gebruiker
    5 Berichten
    Ingeschreven
    27/12/18

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Naam: Peter

    Thread Starter
    Citaat Oorspronkelijk geplaatst door Ramon Fincken Bekijk Berichten
    Heb je wellicht basedir in gebruik? mogelijk kan het dan wel (buiten je eigen homedir lezen)
    Niet buiten de eigen site kunnen lezen zie ik als een feature, niet als probleem



Labels voor dit Bericht

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2018 Webhostingtalk.nl.
Web Statistics