plaintext password php script icm bash

Hi all,

Ik heb een snelle vraag, ik gebruik wat scripts in php en met apache, maar nu heb ik daarvoor plaintext passwords nodig in het script. Dit is uiteraard niet de bedoeling. Wanneer ik de file permissions verander naar w-r voor alleen root, kan php de scripts niet runnen.

example:


er wordt dus ook een beroep gedaan op bash, ik kan dus niet 123 een md5 in php definieren aangezien de md5 variabla dan niet door bash gebruikt kan worden.

Any suggestions ?

het is een eigenwachtwoord dat nodig is om de query uit te voeren.

MueR schreef op maandag 26 maart 2012 @ 13:15:
Als je het toch in je PHP aanspreekt kan je dat wachtwoord toch met php in je shell_exec aanroep zetten?

PHP:

1 2	require_once '/path/to/config.php'; $amount=shell_exec("vmrun <options> <user> -p {$myPass} > <file> | wc -l");

Dit gaan we ook even uitproberen, thanks

Hoe zouden de permissions voor de config file moeten staan, ook 600 neem ik aan met als user apache ?

[ Voor 12% gewijzigd door MarcHeijerman op 26-03-2012 13:17 ]

NMe schreef op maandag 26 maart 2012 @ 13:54:
Je zou met 400 al ver moeten komen, al kan 600 of 644 vast ook geen kwaad. Let alleen op dat ook dit niet zaligmakend is. Maak een tikfoutje, en je configfile is ook bij een include ineens world readable. Niet dat het risico daarop erg groot is, maar waan je ook niet veiliger dan je bent.

ja het zou mooier zijn als je allen zou kunnen encrypten

NMe schreef op maandag 26 maart 2012 @ 14:07:
Kan vast wel, maar je moet ook niet meer beveiligen dan strikt noodzakelijk. Voor de meeste websites en diensten is het risico bij een hack beperkt. De enige manieren om bij dat wachtwoord te komen zijn dermate ingrijpend dat een gelekt wachtwoord niet je belangrijkste probleem is.

Daar heb je gelijk in, nu vrolijk verder met de rest van het script

t_captain schreef op maandag 26 maart 2012 @ 14:39:
Het feit dat je een wachtwoord nodig hebt, geeft aan dat er iets "niet helemaal lekker zit" in je config.

Je probeert vanuit de php interpreter (die afhankelijk van de gebruikte webserver of application server draait onder de een of andere user, zoals apache) een commando aan te roepen dat niet toelaatbaar is voor die user. Gevolg is dat je aanvullende credentials nofig hebt.

Mijn eerste poging zou zijn om "vmrun" kwijt te raken. Een beetje code injectie of een buffer overflow geeft mogelijk volledige controle over je VM's aan een hacker. Kijk eens naar http://communities.vmware.com/message/2009436 voor alternatieven?

Zelf vond ik vmrun de enige snelle en simpele oplossing om via de commanline statistieken uit te lezen

Het moet inderdaad realtime zijn, het gaat erom dat de statistieken uit gelezen kunnen worden dmv een pagina.

statistieken:
aantal esxhosts
aantal vms
aantal vms per esxhost
berekening met een run rate gebaseerd op een aantal variabelen als: vmbuilds in queue, completed etc..
wordt best een uitgebreid iets.

Ik heb al geprobeerd een script te laten draaien via php, maar php had niet veel zin om te wachten tot het script was uitgevoerd.

nu met de losse shell_exec's wacht php wel tot de commands zijn uitgevoerd. Als ik dus een manier heb door php te laten wachten op het script, dan kan ik inderdaad beter een scriptje maken.

Ik heb nu een simpele index met een select optie:
1: environment 1
2: environment 2

wanneer 1 geselecteerd wordt, worden er een aantal queries op de infrastructure servers afgevuurd, en dus het zelfde voor optie 2.

voor wat ik wil heb ik helaas die shell_exec nodig, toch bedankt voor de link.

igmar schreef op woensdag 28 maart 2012 @ 15:45:
[...]


Je houd er rekening mee dat iedereen die ps kan draaien op die server ook het wachtwoord kan zien ? Als je bedrijfsvoering van dat wachtwoord afhangt zou ik er nog een keer goed over nadenken.

Sorry voor de latere reactie, maar ik gebruik nu een password uit een file, dus niet plain text. hij cat het password uit een password file en dat schijnt ook goed te werken.