[PHP] Daemon of aparte apache - Softwareontwikkeling

donderdag 18 juli 2002 21:40

Acties:

Verwijderd

Topicstarter

Ik ben bezig met een Control Panel voor onze twee webservers.
Om mappen aan te maken en de goede rechten te zetten moet apache root draaien of moet je de rechten van chown aanpassen.
Maar dat wil ik dus niet vanwege de veiligheid van de server.

Wat is het beste en het snelste oplossing voor de server?
1) een PHP script als Deamon draaien.
2) een Apache apache draaien met meer rechten (aparte apache config (port 81) alleen oor de cp).

Welke optie is het beste voor het webservers?

Optie twee is handig, zodat als Apache uit valt van de domeinen kan je altijd via de CP de Apache (re)starten.

edit:

Sorry van de taal fout in de onderwerp

donderdag 18 juli 2002 22:11

Acties:

dusty

Celebrate Life!

Titel aangepast, taalfout eruit gehaald en van deamon maar netjes daemon gemaakt.

Wat denk je zelf wat veiliger is?

Back In Black!
"Je moet haar alleen aan de ketting leggen" - MueR

donderdag 18 juli 2002 23:07

Acties:

Verwijderd

Topicstarter

Ik denk dat een aparte Apache op port 81 beter is.
We geven toch geen shell access aan klanten.

edit:

Ik ga nu alles opbouwen voor een aparte Apache.
Ik laat jullie zo snel mogelijk meer horen.

vrijdag 19 juli 2002 00:46

Acties:

dusty

Celebrate Life!

Je geeft GEEN access aan klanten, DUS ga je een aparte apache draaien, zodat APACHE extra toegang heeft, zodat als iemand ondekt dat er apache draait, en er zit een "fout" in apache dat meteen je hele site is gehacked. Dat klinkt inderdaad het verstandigst.

Er is nog zoiets als een StickyBit.

Back In Black!
"Je moet haar alleen aan de ketting leggen" - MueR

vrijdag 19 juli 2002 02:05

Acties:

Verwijderd

Topicstarter

De Control Panel moet ook voor de klanten bereikbaar blijven zo dat zei hun gegevens etc kunnen beheren.

Wat is StickyBit eigenlijk?
Alle uitleg is in het duits.

vrijdag 19 juli 2002 02:08

Acties:

Verwijderd

Topicstarter

Ze komen er toch achter dat wij Apache draaien.
Dus maakt niks uit, als we maar de juiste updates installeren kan er weinig verkeert gaan.

Op vrijdag 19 juli 2002 00:46 schreef dusty het volgende:
Je geeft GEEN access aan klanten, DUS ga je een aparte apache draaien, zodat APACHE extra toegang heeft, zodat als iemand ondekt dat er apache draait, en er zit een "fout" in apache dat meteen je hele site is gehacked. Dat klinkt inderdaad het verstandigst.

Er is nog zoiets als een StickyBit.

vrijdag 19 juli 2002 03:08

Acties:

Aaargh!

Bow for me for I am prutser

Op vrijdag 19 juli 2002 02:08 schreef StephanPHP het volgende:
Ze komen er toch achter dat wij Apache draaien.
Dus maakt niks uit, als we maar de juiste updates installeren kan er weinig verkeert gaan.

Er is geen groot verschil tussen een apache die als 'nobody' draait en een apache die als 'root' draait als je gehakt wordt.
beetje erg onverstandig om het zo te doen imho.

Those who do not understand Unix are condemned to reinvent it, poorly.

vrijdag 19 juli 2002 12:51

Acties:

Verwijderd

Topicstarter

Hij draait nu onder user admin en groep admin.
En de rechten van chown en chgrp verandert.

Maar jullie geven wel commantaar over dat aparte Apache,
Maar hoe moet het dan ? ik ga echt niet mijn klanten rechten geven voor chown en chgrp

vrijdag 19 juli 2002 13:05

Acties:

dusty

Celebrate Life!

Op vrijdag 19 juli 2002 02:05 schreef StephanPHP het volgende:
Wat is StickyBit eigenlijk?
Alle uitleg is in het duits.

Dan zoek je op het internet over stickybit, krijg je documenten in het engels.

Back In Black!
"Je moet haar alleen aan de ketting leggen" - MueR

vrijdag 19 juli 2002 13:09

Acties:

Verwijderd

Topicstarter

Op vrijdag 19 juli 2002 13:05 schreef dusty het volgende:

[..]
Dan zoek je op het internet over stickybit, krijg je documenten in het engels.

Het enige wat ik kan vinden is stickybit.de
Maar dat is duits.

vrijdag 19 juli 2002 13:27

Acties:

DPLuS

Google of search leverde info over sticky bit in het:

Engels: [url="http://linux.oreillynet.com/lpt/a/linux/lpt/22_06.html"]http://linux.oreillynet.com/lpt/a/linux/lpt/22_06.html[/url]

Nederlands:
[topic=297792/1/50]

vrijdag 19 juli 2002 14:06

Acties:

Verwijderd

Topicstarter

Dat gaat over mappen beveilingen.
Dat is erg handig maar hier gaat het om mappen aanmaken met PHP en de juiste rechten geven!
En niet om beveiligen van mappen.
Of lees ik het verkeerd?

edit:

Ik heb /www verandert.

Warning: chgrp failed: Operation not permitted in /etc/starcp/web/test.php on line 12

Warning: chown failed: Operation not permitted in /etc/starcp/web/test.php on line 13

Ik wil map /www/demo aanmaken en veranderen naar user stephan IPV www-data

De map wordt wel aangemaakt

En de map heeft de zelfde user en groep als de script en apache.

PHP:

&lt;?$map     = $_GET[&quot;map&quot;];if ($map != &quot;&quot;) {# Die 1777 lijkt niet te werken ?mkdir(&quot;/www/&quot; . $map, 1777);chgrp(&quot;/www/&quot; . $map,&quot;users&quot;);chown(&quot;/www/&quot; . $map,&quot;stephan&quot;);print &quot;Map /www/$map is aangemaakt.&lt;br&gt;&quot;;}?&gt;

Ik heb ook handmatig geprobeert via de shell.
Alle twee zelfde error.

vrijdag 19 juli 2002 14:35

Acties:

rollebol

sudo

vrijdag 19 juli 2002 14:44

Acties:

chem

Reist de wereld rond

user@host:~$ sudo
bash: sudo: command not found

helaas rollebol, veel OS'en hebben geen sudo...
daarbij wil sudo het password via een 2e commando.

Klaar voor een nieuwe uitdaging.

vrijdag 19 juli 2002 14:50

Acties:

Verwijderd

Topicstarter

pico /etc/sudoers
admin ALL=(ALL) ALL

dan vraagt hij geen password meer

Maar hoe zo veilig ?

vrijdag 19 juli 2002 14:58

Acties:

rollebol

Op vrijdag 19 juli 2002 14:44 schreef chem het volgende:
user@host:~$ sudo
bash: sudo: command not found

helaas rollebol, veel OS'en hebben geen sudo...
daarbij wil sudo het password via een 2e commando.

Blaat. Wat is dit nu weer voor onzin. Dan installeer je toch sudo. Aangezien de topic-opener niet heeft gezegd welk OS hij gebruikte ging ik er van uit dat hij een vrij regulier UNIX-achtig OS gebruikte. Daar kan je bijna allemaal sudo op installeren.

Je kan in de sudoers(5) file opnemen dat voor bepaalde commando's geen password hoeft te worden ingevuld (met de NOPASSWD tag).

vrijdag 19 juli 2002 15:00

Acties:

rollebol

Op vrijdag 19 juli 2002 14:50 schreef StephanPHP het volgende:
[..]
dan vraagt hij geen password meer
Maar hoe zo veilig ?

Je kan natuurlijk alle checking doen in het ene scriptje dat je wel toelaat zonder password te draaien. In de manpage van sudo staat het netjes beschreven, ergens aan het einde. Zijn environment-variabelen voor.

vrijdag 19 juli 2002 15:18

Acties:

Verwijderd

Topicstarter

ik draai Debian 3.0 en Suse 8.0 als servers

Meschien toch beter een php script in de achtergrond laten runnen als user root.
Dan lukt het wel zonder errors.

vrijdag 19 juli 2002 15:30

Acties:

Gerco

Professional Newbie

suexec ?

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

vrijdag 19 juli 2002 15:31

Acties:

Verwijderd

Topicstarter

Werkt met:
suexec != PHP
suexec == CGI
Toch ? of heb ik het helemaal fout ?

Op vrijdag 19 juli 2002 15:30 schreef Gerco het volgende:
suexec ?

vrijdag 19 juli 2002 15:57

Acties:

Gerco

Professional Newbie

Op vrijdag 19 juli 2002 15:31 schreef StephanPHP het volgende:
suexec == CGI
Toch ? of heb ik het helemaal fout ?

Zou je weleens gelijk in kunnen hebben, ik weet het ook niet zeker. Anders draai je PHP als CGI-module... kan ook

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

vrijdag 19 juli 2002 16:01

Acties:

Verwijderd

Topicstarter

Ik probeer eerst een php script aan te roepen via user root om de 5 min of zo.
of als deamon zit nog even te bedenken wat het beste is.
één voordeel de cp is dan wel sneller met laden van pagina's

vrijdag 19 juli 2002 16:46

Acties:

LuCarD

Certified BUFH

Misschien even over een hele ander boeg...

is dit niet wat voor je?
[url="http://www.webmin.com/"]http://www.webmin.com/[/url]

Als je het toch zelf wilt maken is IMHO de php in cron de veiligste optie. Maar laat hem continu draaien. Dan krijg je ook minder problemen als je een taak lang duurt dat de volgende taak al begint en ietst probeert wat niet kan.
En over het algemeen blijft het ook lekker snel...

Programmer - an organism that turns coffee into software.

vrijdag 19 juli 2002 17:02

Acties:

Verwijderd

Topicstarter

Webmin is heel leuk voor de wat meer ervaren Linux gebruiker.
We hebben mensen die niks van Linux snappen.
En die moeten ook hun e-mail aliases kunnen beheren, ftp users etc databases

maandag 22 juli 2002 20:15

Acties:

rollebol

Op vrijdag 19 juli 2002 17:02 schreef StephanPHP het volgende:
Webmin is heel leuk voor de wat meer ervaren Linux gebruiker.
We hebben mensen die niks van Linux snappen.
En die moeten ook hun e-mail aliases kunnen beheren, ftp users etc databases

Oh, als dat is wat je wil dan kan je toch beter alles virtueel maken, met alle user account-informatie in een SQL-database? Dan kan je er met PHP eenvoudig bij.

Voor exim en proftpd kan je in ieder geval SQL-support aanzetten. Werkt in ieder geval met MySQL, andere databases vast ook wel. POP3-daemon weet ik even niet. Ik weet wel dat hij er is.

Maar, en ik wil niet al te veel doordrammen hoor, heb je nu al naar sudo gekeken?

maandag 22 juli 2002 21:28

Acties:

igmar

ISO20022

Op vrijdag 19 juli 2002 14:06 schreef StephanPHP het volgende:

edit:

Ik heb /www verandert.

Warning: chgrp failed: Operation not permitted in /etc/starcp/web/test.php on line 12

Warning: chown failed: Operation not permitted in /etc/starcp/web/test.php on line 13

Ik wil map /www/demo aanmaken en veranderen naar user stephan IPV www-data

De map wordt wel aangemaakt

En de map heeft de zelfde user en groep als de script en apache.

? Misschien je eens inlezen in materie voordat je IMHO erg domme vragen stelt ?? Natuurlijk kun je geen chown gebruiken als normale user, en chgrp alleen indien je lid bent van de nieuwe groep.

maandag 22 juli 2002 21:30

Acties:

igmar

ISO20022

Op vrijdag 19 juli 2002 02:08 schreef StephanPHP het volgende:
Ze komen er toch achter dat wij Apache draaien.
Dus maakt niks uit, als we maar de juiste updates installeren kan er weinig verkeert gaan.

Ach ja.. Je maakt een simpel PHP scriptje wat rm -rf / uitvoert, een aangezien je apache dan toch als root draait ruimt het meteen lekker op..

maandag 22 juli 2002 23:45

Acties:

Verwijderd

e-mail aliases kunnen beheren

QMail + QMailAdmin ?

ftp users

ProFTPD + Sql voor user gegevens ..

databases

Ook daar zijn Browser interfaces voor....
Ik bedoel niks als kritiek, maar ik vind het nogal een groffe oplossing om je complete bak te overhandigen aan Apache puur en alleen voor beheer ...

Pagina: 1

Reageer