Szukam rozwiązania - zapis plików przez programistę w systemie bez chrootowania

Szukam rozwiązania - zapis plików przez programistę w systemie bez chrootowania

kors4r Zobacz profil	30.06.2011, 05:54:09 Post #1
Grupa: Zarejestrowani Postów: 10 Pomógł: 0 Dołączył: 12.10.2010 Ostrzeżenie: (0%)	Witam mam serwer dedykowany, na którym firewall udostępnia jedynie port 80 i port dla ssh (niestandardowy). Poprosiłem kolegę o napisanie kilku skryptów JS. Koledze będzie łatwiej, jeśli będzie miał możliwość zapisu plików na dysku - będzie mógł na bieżąco testować. Nie chcę jednak dawać mu wglądu w pliki w systemie. Ponieważ nie mam żadnego rozwiązania, które ograniczałoby dostęp usera do jakiegoś konkretnego katalogu (to się chyba nazywa chrootowanie, tak?), nie mam sposobu na umożliwienie mu zapisu plików na dysku w taki sposób, żeby dla niego było to skuteczne, a dla mnie bezpieczne. Szukałem jakiegoś edytora on-line, który mógłbym zainstalować na serwerze i tak skonfigurować, żeby kolega mógł nim edytować tylko określone pliki - ale nie znalazłem niczego, co byłbym w stanie zainstalować :/ On zaproponował umieszczenie na serwerze pliku php o takiej treści: [PHP] pobierz, plaintext <?php if ( $_POST["secure_key"] == "tajny_string-haslo_NameOfMyLady_mgf34awt54bb" ) { if ( ! $_POST["file_data"] \|\| ! $_POST["file_path"] ) die; _fileSave($_POST["file_data"], $_POST["file_path"]); } ?> [PHP] pobierz, plaintext No i niby mógłbym tak zadeklarować _fileSave(), żeby przyjmowało tylko określone pliki (np. z rozszrzeniem js). Wtedy miałbym pewność, że nie prześle pliku PHP, który "podejrzy" drzewo katalogów i treść innych plików, niż te, które chciałbym, żeby kolega widział. Mimo to zastanawiam się, czy mając możliwość zapisywania na serwerze plików z rozszerzeniem .user.js jest szansa na uzyskanie treści plików zapisanych na tym serwerze. Pytania moje do Was: 1. czy możliwość zapisywania na serwerze plików .user.js mocno ryzykuję? jest to duże zagrożenie? 2. czy znacie jakiś prosty (znaczy - do wykonania przez kogoś, kto nie jest wybitnym specem od PHP i administracji serwerami) sposób na to, żeby umożliwić komuś zapis do konkretnych plików na serwerze? dodam może jeszcze, że serwer nie uruchomi plików .js jako plików PHP, a w katalogu, którego dotyczy problem zainstalowany jest drupal plik htaccess wygląda tak (jeśli ma to jakieś znaczenie): [PHP] pobierz, plaintext # # Apache/PHP/Drupal settings: # # Protect files and directories from prying eyes. <FilesMatch "\.(engine\|inc\|info\|install\|make\|module\|profile\|test\|po\|sh\|.sql\|theme\|tpl(\.php)?\|xtmpl\|svn-base)$\|^(code-style\.pl\|Entries.\|Repository\|Root\|Tag\|Template\|all-wcprops\|entries\|format)$"> Order allow,deny </FilesMatch> # Don't show directory listings for URLs which map to a directory. Options -Indexes # Follow symbolic links in this directory. Options +FollowSymLinks # Make Drupal handle any 404 errors. ErrorDocument 404 /index.php # Force simple error message for requests for non-existent favicon.ico. <Files favicon.ico> # There is no end quote below, for compatibility with Apache 1.3. ErrorDocument 404 "The requested file favicon.ico was not found. </Files> # Set the default handler. DirectoryIndex index.php # Override PHP settings. More in sites/default/settings.php # but the following cannot be changed at runtime. # PHP 4, Apache 1. <IfModule mod_php4.c> php_value magic_quotes_gpc 0 php_value register_globals 0 php_value session.auto_start 0 php_value mbstring.http_input pass php_value mbstring.http_output pass php_value mbstring.encoding_translation 0 </IfModule> # PHP 4, Apache 2. <IfModule sapi_apache2.c> php_value magic_quotes_gpc 0 php_value register_globals 0 php_value session.auto_start 0 php_value mbstring.http_input pass php_value mbstring.http_output pass php_value mbstring.encoding_translation 0 </IfModule> # PHP 5, Apache 1 and 2. <IfModule mod_php5.c> php_value magic_quotes_gpc 0 php_value register_globals 0 php_value session.auto_start 0 php_value mbstring.http_input pass php_value mbstring.http_output pass php_value mbstring.encoding_translation 0 </IfModule> # Requires mod_expires to be enabled. <IfModule mod_expires.c> # Enable expirations. ExpiresActive On # Cache all files for 2 weeks after access (A). ExpiresDefault A1209600 <FilesMatch \.php$> # Do not allow PHP scripts to be cached unless they explicitly send cache # headers themselves. Otherwise all scripts would have to overwrite the # headers set by mod_expires if they want another caching behavior. This may # fail if an error occurs early in the bootstrap process, and it may cause # problems if a non-Drupal PHP file is installed in a subdirectory. ExpiresActive Off </FilesMatch> </IfModule> # Various rewrite rules. <IfModule mod_rewrite.c> RewriteEngine on # If your site can be accessed both with and without the 'www.' prefix, you # can use one of the following settings to redirect users to your preferred # URL, either WITH or WITHOUT the 'www.' prefix. Choose ONLY one option: # # To redirect all users to access the site WITH the 'www.' prefix, # (http://example.com/... will be redirected to <a href="http://www.example.com/...)" target="_blank">http://www.example.com/...)</a> # adapt and uncomment the following: # RewriteCond %{HTTP_HOST} ^example\.com$ [NC] # RewriteRule ^(.)$ <a href="http://www.example.com/$1" target="_blank">http://www.example.com/$1</a> [L,R=301] # # To redirect all users to access the site WITHOUT the 'www.' prefix, # (http://www.example.com/... will be redirected to <a href="http://example.com/...)" target="_blank">http://example.com/...)</a> # uncomment and adapt the following: # RewriteCond %{HTTP_HOST} ^www\.example\.com$ [NC] # RewriteRule ^(.)$ <a href="http://example.com/$1" target="_blank">http://example.com/$1</a> [L,R=301] # Modify the RewriteBase if you are using Drupal in a subdirectory or in a # VirtualDocumentRoot and the rewrite rules are not working properly. # For example if your site is at <a href="http://example.com/drupal" target="_blank">http://example.com/drupal</a> uncomment and # modify the following line: # RewriteBase /drupal # # If your site is running in a VirtualDocumentRoot at <a href="http://example.com/" target="_blank">http://example.com/</a>, # uncomment the following line: # RewriteBase / # Rewrite URLs of the form 'x' to the form 'index.php?q=x'. RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_URI} !=/favicon.ico RewriteRule ^(.)$ index.php?q=$1 [L,QSA] </IfModule> # $Id: .htaccess,v 1.90.2.5 2010/02/02 07:25:22 dries Exp $ [PHP] pobierz, plaintext

Odpowiedzi

morbic Zobacz profil	2.07.2011, 23:44:37 Post #2
Grupa: Zarejestrowani Postów: 116 Pomógł: 29 Dołączył: 13.12.2010 Skąd: Warszawa Ostrzeżenie: (0%)	1) Dodanie usera z katalogiem domowym w miejscu, gdzie maja byc wrzucane pliki: Cytat useradd -d /sciezka/do/katalogu testuser 2) Ustawienie mu hasła Cytat passwd testuser 3) Instalacja ProFTPd, przykład dla Debiana: Cytat apt-get install proftpd 4) Ustawienie dyrektywy DocumentRoot w configu w /etc/proftpd: Cytat DefaultRoot ~ 5) Podanie userowi IP serwera, nazwy uzytkownika i ustawionego hasla. 5 prostych kroków i dostęp dla usera tylko do wybranego katalogu gotowy. Ewentualne nieprzyjemności związane z prawami odczytu/zapisu dla serwera WWW i chmody pominąłem.

Posty w temacie

kors4r Szukam rozwiązania - zapis plików przez programistę w systemie bez chrootowania 30.06.2011, 05:54:09

uupah5 rozwiązania od d... strony. jak już jest was dwóch... 30.06.2011, 09:31:43

Magic WWW Możesz użyć subversion. Masz dostęp do Direct Admi... 30.06.2011, 10:18:39

kors4r no wiem, wiem, od d.... strony praktycznie - tylk... 2.07.2011, 23:31:13

morbic 1) Dodanie usera z katalogiem domowym w miejscu, g... 2.07.2011, 23:44:37

« Następny starszy · Kontrola i zarządzanie projektami · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl