[php] Cronjob beveiligen

woensdag 19 april 2006 18:30

Acties:

0 Henk 'm!

Topicstarter

Ik heb een cronjob waarvan ik niet wil dat mensen hem vanuit hun browser kunnen aanroepen.

Normaal gesproken kan je dit soort bestanden in /private zetten, maar ik niet. Omdat mijn host php als module heeft geinstalleerd kan ik in de command line van de job alleen naar bestanden wijzen in /httpdocs. (omdat het path moet beginnen met http://....)

Nu heb ik een beetje lopen kutten met chmod, maar als ik het bestanden bescherm van de buitenwereld kan de cronjob zelf ook niet meer worden uitgevoerd.

Een oplossing is om een .htaccess bestand in de map te zetten maar dat soort oplossingen vind ik veel te omslachtig.

Iemand een idee?

woensdag 19 april 2006 18:37

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Dit bovenaan je script zetten?

PHP:

1
2
3

if ($_SERVER['REQUEST_METHOD'] == 'GET') {
  die();
}

Overigens in de .htaccess oplossing veel netter en bovendien ook juist veel minder omslachtig dan dit.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

woensdag 19 april 2006 19:25

Acties:

0 Henk 'm!

verytallman

Topicstarter

Eigenlijk vind ik die .htaccess optie ook mooier. Maar ik heb slecht nieuws, de cronjob verteld me dat hij geen toegang heeft opeens

Jouw optie lijkt me ook wel goed, maar kan je precies uitleggen wat deze code doet?

PHP:

1	if ($_SERVER['REQUEST_METHOD'] == 'GET') {

woensdag 19 april 2006 19:30

Acties:

0 Henk 'm!

verytallman

Topicstarter

Ik heb nu daarvoor ook een oplossing gevonden:

plak
-auth=username:password
achter het commando

woensdag 19 april 2006 19:31

Acties:

0 Henk 'm!

Rodyman

chillend

Je kunt ook je cronjob in een beveiligde directory zetten (htaccess) en dan met behulp van het volgende stukje code de cronjob aanroepen:

wget --http-user=<USERNAME> --http-passwd=<PASSWORD> http://www.server.com/secure/cronjob.php

woensdag 19 april 2006 19:48

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

verytallman schreef op woensdag 19 april 2006 @ 19:25:
Eigenlijk vind ik die .htaccess optie ook mooier. Maar ik heb slecht nieuws, de cronjob verteld me dat hij geen toegang heeft opeens

Jouw optie lijkt me ook wel goed, maar kan je precies uitleggen wat deze code doet?
PHP:
1
if ($_SERVER['REQUEST_METHOD'] == 'GET') {

REQUEST_METHOD is een header die door de webserver gezet wordt. Als je je PHP-script via Apache serveert dan zul je altijd een REQUEST_METHOD hebben. Wanneer je via de commandline (en dus ook met behulp van een cronjob) een PHP-script draait is je webserver er niet bij betrokken en wordt die header niet gegenereerd.

Overigens is dit completer:

PHP:

if (isset($_SERVER['REQUEST_METHOD']) &&
     in_array($_SERVER['REQUEST_METHOD'], array('GET', 'POST', 'HEAD'))) {
  die();
}

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

woensdag 19 april 2006 20:12

Acties:

0 Henk 'm!

JayVee

shibby++!

Ik heb dit ooit gebruikt:

PHP:

if (!isset($_SERVER['SHELL'])) {
    echo 'Dit script werkt alleen via CLI';
    exit;
}

Ik weet niet of het 100% veilig is, aangezien het niet gedocumenteerd is op php.net

ASCII stupid question, get a stupid ANSI!

woensdag 19 april 2006 20:19

Acties:

0 Henk 'm!

XWB

Devver

Rodyman schreef op woensdag 19 april 2006 @ 19:31:
Je kunt ook je cronjob in een beveiligde directory zetten (htaccess) en dan met behulp van het volgende stukje code de cronjob aanroepen:

wget --http-user=<USERNAME> --http-passwd=<PASSWORD> http://www.server.com/secure/cronjob.php

Lijkt me nuttige info, maar "page not found" ?

March of the Eagles

woensdag 19 april 2006 20:23

Acties:

0 Henk 'm!

Verwijderd

omdat die url een voorbeeld was, geen link naar een document met meer info

woensdag 19 april 2006 20:51

Acties:

0 Henk 'm!

Rodyman

chillend

Precies, ik bedoelde natuurlijk dat je dit als cronjob zou kunnen maken:

code:

1	wget --http-user=<USERNAME> --http-passwd=<PASSWORD> http://www.server.com/secure/cronjob.php

woensdag 19 april 2006 20:54

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Beetje een rare oplossing om je http daemon extern te gaan benaderen als je al shelltoegang hebt op de lokale host, niet?

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

woensdag 19 april 2006 21:00

Acties:

0 Henk 'm!

Janoz

Moderator Devschuur®

!litemod

Waarschijnlijk kan het niet anders omdat de host php enkel door apache uit laat voeren. Dan ben je inderdaad aangewezen op het gebruik van wget (en heb je dus weinig aan de request method oplossing die -NMe- gaf)

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

woensdag 19 april 2006 21:06

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Hmm, idd. Stom van me.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

woensdag 19 april 2006 23:04

Acties:

0 Henk 'm!

Icey

Kijk naar een ipadres? Of zeg ik nu iets doms.. Die server zal toch altijd hetzelfde ipadres hebben (dan ga ik dus uit van het feit dat je iets als wget gebruikt).

PHP:

<?php
if($_SERVER['REMOTE_ADDR'] == 'ipadres webserver')
{
// doe iets
}
?>

[ Voor 8% gewijzigd door Icey op 19-04-2006 23:04 ]

donderdag 20 april 2006 12:02

Acties:

0 Henk 'm!

Stoppel

een diedudabist

Hmmm koppel je dan je code niet teveel met de server?
Stel dat je code naar een nieuwe server verhuist (met nieuw ip) of stel dat je meerdere servers gebruikt en dan m.b.v. een loadbalancer je traffic verdeelt.

Hard een ip adres erin zetten lijkt mij niet de juiste weg. IMHO

Beauty is in the eye of the beholder

donderdag 20 april 2006 20:00

Acties:

0 Henk 'm!

Brons

Fail!

Misschien kan je het koppelen aan het adres. Dus als je host een cluster heeft staan kan je het altijd nog controleren op *.hostbedrijf.ext.

Volgens mij is er trouwens geen perfecte manier om dit te beveiligen, omdat je dit het beste gewoon buiten de webserver kan doen.

My 2 cents.

vrijdag 21 april 2006 08:55

Acties:

0 Henk 'm!

vakantieman

Ik gebruik op mijn website het volgende script om te bekijken of het via de browser wordt uitgevoerd. Werkt als een trein:

PHP:

1
2
3

if (!isset($_SERVER["argv"][0])) {
    die("<br><strong>Dit script kan alleen maar gedraaid worden via de command-line.</strong>");
}

Ik hoop dat je er iets mee kunt.

vrijdag 21 april 2006 09:04

Acties:

0 Henk 'm!

DizzyWeb

Ondertiteld

Ik ben bang dat alle oplossingen met $_SERVER["argv"] en $_SERVER['REQUEST_METHOD'] niet gaan werken aangezien de TS aangeeft de cronjob met wget te moeten starten en DUS "via de browser" werkt.

Ik denk dat een .htaccess toch de simpelste oplossing is.

vrijdag 21 april 2006 09:46

Acties:

0 Henk 'm!

verytallman

Topicstarter

Zoals ik hierboven al aangaf heb ik de htaccess oplossing gekozen.
Uiteindelijk vind ik die nog netter dan een PHP oplossing. Ook omdat ik nu zelf ook de optie heb de cronjob handmatig aan te roepen via de browser.

Allen bedankt !

[ Voor 5% gewijzigd door verytallman op 21-04-2006 09:48 ]

vrijdag 21 april 2006 14:22

Acties: