פורסם 2011 במרץ 2014 שנים קודם כל מדובר על אובונטו 10.4 LTS (לא שזה כ"כ משנה תאכלס).כתבתי דף html עם form ששולח את הנתונים לסקריפט שיושב ב cgi-bin.הסקריפט בתורו אמור לקרוא לכמה תוכנות שיושבו במיקום אחר בממחשב ותחת יוזר אחר.הוספתי את www-data ל group של אותו יוזר ווידאתי שיש הרשאה לקריאה והרצה על כל הקבצים שאני צריך.הבעיה היחידה שלי היא שאותן תוכנות צריכות קובץ מסויים המכיל ססמאות. אין לי אפשרות לדחוף את מיקום המקום בתור פרמטר והתוכנה מחפשת את הקובץ בתקיית הבית של www-data (/var/www) שכמובן לא נמצא שם.אני לא רוצה להעתיק את הקובץ הזה לתקיית הבית של www-data מהסיבות המובנות שאני פשוט אחשוף אותו לכולם, וכמו כן אני גם לא רוצה ליצור העתק של הקובץ הזה כי במידה והוא ישתנה אצטרך לעדכן אותו בכמה מקומות.מקווה שהייתי ברור ככל האפשר.. למישהו יש רעיון מה לעשות?
פורסם 2011 במרץ 2014 שנים אם הבנתי נכון את מנסה לעקוף את מערכת ההרשאות או לתת הרשאהאם כן אז אתה מגיע בדיוק למצב שאתה לא רוצה - כשיש גישה לקריאה לקובץ הסיסמאותאתה יכול לנסות 2 דברים :תצפין את הסיסמאות בהצפנה חד כיוונית חזקה ותן הרשאה חופשית לקובץ שמכיל את הסיסמאות המוצפנות. כך ניתן לאמת מול הקובץ סיסמאות אבל לא ניתן להוציא ממנו את הסיסמאות שיש שםתיצור סקריפט שמשווה את הסיסמאות (ורץ תחת הרשאה חזקה יותר) ותריץ אותו אם suid. יכול להיות כאן חור אבטחה פוטנציאלי - תבדוק את זה לעומק
פורסם 2011 במרץ 2114 שנים אתה יכול ליצור Symbolic Link, ולהגדיר ב-vhost לא לעקוב אחריקישורים סימבוליים, ככה לא יהיה ניתן לגשת לקובץ ישירות מתוךקריאת URI לקישור הסימבולי.http://httpd.apache.org/docs/2.0/mod/core.html#optionsבכל אופן, אני ממליץ לך למצוא דרכים אחרות לעבוד עם קבצי סיסמאות.
פורסם 2011 במרץ 2114 שנים מחבר מצויין.למצוא דרכים אחרות לעבוד עם קצבי ססמאות זה נחמד אבל מה הברירות שלי?קובץ הססמאות הוא של rancid למי שמכיר. הקובץ שומר ססמאות של פיירוואלים. אין לי אפשרות להצפין את הקובץ כי האפשרות לא קיימת בrancid. האתר לא פתוח לעולם אלה נמצא ברשת המשרדית ומוגן בסיסמא אבל גם ליוזר בעל סיסמא לא רוצה שתהי גישה לקובץ.
פורסם 2011 במרץ 2114 שנים אם אתה רוצה לקבל גישה לקובץ מבחינת התוכנה, אתה חייב לתת גישה ליוזר שממנו התוכנה עובדת. לעקוף את זה = לעקוף בכללי את ההגנה של מערכת ההפעלה בהפרדה בין יוזריםכלומר : אם מערכת ההפעלה לא נותנת לעשות את זה בצורה ישירה, אז או שיש כאן כשל לוגי או שאתה לא אמור לנסות לחסום את הקובץ מתוך מערכת ההפעלה אלא לסמוך אל האבטחה של התוכנה בלבד כשלתוכנה יש גישה ישירה לקובץ (או ל symlinks)אם אתה כן סומך אל האבטחה של התוכנה תשים symlinksכמו ש m1ke מציעהמערכת שבה התוכנה עובדת לא ממש רלוונטית - אם אתה מנסה להגן אל קובץ הסיסמאות זה אומר שאתה לא סומך אל אנשים מסוימים ב LAN, ואם כך - אתה אמור להגן את המערכת בדיוק כמו במקרה של אינטרנט חיצוני
פורסם 2011 במרץ 2114 שנים מחבר כן הגישה ש iTK הציעה היתה מה שחפשתי, פשוט לא ממש הבנתי את המשפט האחרון שלו.
פורסם 2011 במרץ 2114 שנים אתה מנסה להגיע לקובץ שצריך הרשאות --> אתה אמור לתת הרשאותאתה לא רוצה שהמשתמש יוכל להגיע לקובץ --> אתה אמור לא לתת הרשאותאם תיתן הרשאות ותחביא את הקובץ, זה לא ממש מאובטח כי עדיין המשתמש יוכל להגיע אליו (גם אם הוא לא רואה אותו)הדרך הנכונהלעבודה אם סיסמאות היא להצפין בהצפנה חד כיוונית את קובץ הסיסמאות, ולהצפין את הסיסמאות שמגיעות מה form באתר. אתה משווה את הצורה המוצפנת של הסיסמאות כדיי לבדוק אם הסיסמא נכונהכך אתה יכול לתת גושה לקובץ הסיסמאות ועדיין לא יהיה ניתן לשחזר ממנו סיסמאות חוצ מ brute forcing. אם תעשה הצפנה מספיק חזקה אז brute forcing יקח יותר מדיי זמן ומשאבים ולא יהיה ניתן ליישום
ארכיון
דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.