Ahojte, mam taku vec,ze kamarat potrebuje pre svoju fb aplikaciu server so SSL,to mam,
preto mu chcem zriadit FTP ucet,s dakou zlozkou na mojom hostingu,ako to ale spravim? aby nemal pristup k inym zlozkam,z mojho webu a bola prenho root zlozka ta co urcim,pricom by tam mohol uploadovat tie svoje aplikacie,vytvarat atd... co by bolo asi najelegantnejsie riesenie?
FTP -> napad
Pre pridávanie komentárov sa musíte prihlásiť.
mozem poveda,ze natrafil som na 2 rozne errory:
/path/to/sftp/user ---> vsetko musi vlastnit root
zlozka /user musi mat prava 755 inak to nenapoji....
a stym mam aj problem,ako donutim aby ten uzivatel,mohol vytvarat,mazat a citat vo svojej domovskom adresar / ? Viem tam vytvorit ako root uz s atributami 777 a to potom ide paradne,... ale iba vramci tej zlozky :)
drwxr-xr-x 4 richard888 sftpusers 4096 Nov 3 01:45 richard888bohuzial pri tom sftp ma to bez toho,ze majitel je root nepusti do zlozky,este ma to pusti ak,napr majitel je root a patri skupine toho dalsieho uzivatela,teda richarda... ale stale len s pravami 755 na zlozku...
Nov 3 23:17:29 localhost sshd[6502]: Accepted password for richard888 from 192. 168.1.132 port 59891 ssh2Nov 3 23:17:29 localhost sshd[6502]: pam_unix(sshd:session): session opened for user richard888 by (uid=0)
Nov 3 23:17:29 localhost sshd[6504]: fatal: bad ownership or modes for chroot d irectory "/var/www/forgym.eu/www/facebookapp/richard888"
Nov 3 23:17:29 localhost sshd[6502]: pam_unix(sshd:session): session closed for user richard888
Skús povedať niečo tom, ako si prišiel k tomu sftp na tom tvojom hostingu.
nasledoval som tento postup:
http://www.thegeekstuff.com/2012/03/chroot-sftp-setup/ potom som nasiel info o tom,ze majitel zlozky musi byt root a prava na tu zlozku musia byt 755 a zacalo to fachat....
Naozaj do toho chceš ísť? Na FB si Ťa všimnú a za chvíľku Ti ten stroj začne žiť vlastným životom. Mohol by si si tam nahodiť nejaký reporting, ako napríklad CACTI a napublikovať ho na web?
tak nerad by som bol,aby mi tam vznikol daky nezelany "zivot",mohol by som samozrejme nahodit,otazne je,ale co mam presne robit,nie som zasa v tom az tak zbehli(teda vobec,len mam momentalne nadsenie pre vec :) ),...
Ak to podceníš, tak Ťa veľmi rýchlo hacknú. A poskytovateľ Ťa môže odrezať, aj od zmluvného využívania prostriedkov.
A keď budeš študovať danú tématiku, tak musíš byť pozorný. Takže ako to bolo s tým vlastníkom priečinku ktorý mal byť podľa Teba root? V príručke podľa ktorej si mal ísť bolo niečo iné.
potom som nasiel totok: http://www.gossamer-threads.com/lists/openssh/dev/44657 takze teraz som zmeteny,..
teda pre istotu este raz popisem sytuaciu,postupoval som presne podla toho navodu,http://www.thegeekstuff.com/2012/03/chroot-sftp-setup/ ,ale nevedel som vylistovat adresar,tak som nasiel,ze domovsky adresar, toho usera musi byt vlastneny rootom --> a atributy 755 na domovsku zlozku,teda moj pripad je zlozka ./richard888/ teda uzivatel tam nie je povoleny robit nic ine,ako citat... a potom som vytvoril zlozky ./richard888/zlozka v ktorej uz moze mat pravomoci a moze byt aj atributu napr. 775
Je to kôli tomu, že si našiel štyri roky starú chybu z čias keď sa menil PAM a programy na to nestsihli zareagovať? To už dávno opravili. Vtedy som musel kôli tomu otočiť mašinu.
Alebo je to kôli tomu, že si nepochopil že v tom návode slúži na zápis adresár incomming a tým pádom tam padá Tvoj pôvodný pohľad na domovský priečinok? Samozrejme, aj to sa dá prestaviť podľa potreby. Ale, človek musí najprv vedieť akú má potrebu.
Ak si myslíš, že Ti pomôže google translator, tak ho použi. Kvalita angličtinárov na školách vždy stála za prd.
teda to je vlastnost,nie chyba...
aj v tom navode,ako som prehliadol/vsimol menil majitela zlozky k sftp/guestuser/incoming nie k /sftp/guestuser/ teda zlozka /sftp/guestuser/ bola vytvorena a asi aj vlastnena rootom.
teda ak chapem spravne,ide mi to dobre,bez chyby,ziaden sandbox nemam rozhadzany a som len zmeteny??lebo uz nwm,ci si mam vsetko prejst,riadok po riadku,ci som daky ten riadok/slovicko nevynechal...alebo som uz vazne jelen :/
znalost eng z toho vynechajme,tam istotne problem nebude..
Ozaj, čo chceš vôbec dosiahnúť?
teraz to mam tak,ze v / nemozem write,iba v dakom vytvorenom priecinku ako /incoming napr. alebo /www alebo proste v dacom,co vlastni uzivatel...
ale pri logine cez povedzme filezilla ma to supne do toho priecinku / ale mozem pisat iba v ostatnych priecinkoch co som predtym vytvoril s rootom a pridelil uzivatelovi....
teda ak mam zlozku
/var/www/blabla/linux.os ->> linux.os je vlastnena uzivatelom "richard"/var/www/blabla/ ->> blabla je vlastnena root-om
po prihlaseni cez ftp ma to hodi do zlozky /var/www/blabla/ ->> to bude ta moja / v ktorej nemozem zapisovat,kedze nie su prava
/var/www/blabla/linux.os --> bude moja zlozka /linux.os kde budem moct uz uploadovat.
teda ma to byt takto,rozumiem spravne,snad som to teraz vysvetlil dobre...
Tak to sa vykašli na voloviny a zapni voľbu
-D USERDIR. Rišo si potom vytvorí priečinok /home/richard888/public_html a do nej dá tú webku. Prístupné to bude mať počas testov na adrese http://forgym.eu/~richard888. Neskôr mu môžeš urobiť alias.Užívateľské webky majú byť mimo hlavnej stránky. A vymýšľať ako sa škrabať pravou rukou za ľavým uchom môžeš až keď bude všetko hotové...
PS: A prenos súborov môže robiť buď cez scp (v prípade nevhodne zvoleného OS bude potrebovať klienta WinSCP) alebo cez SSHFS pustený pomocou FUSE. Je to pohodlnejšie. Už NFS by som neodporúčal ak je pravdepodobnosť že sa na dáta bude pristupovať cez VPN. Dosť blbo by to tuhlo pri výpadku linky.
http://www.youtube.com/watch?v=gp9Yk6UARkE a video v 5:50 ... presne totiz tutok situaciu som mal a vyzera byt spravna!
WlaSaTy, dakujem velmi pekne za pomoc,vyzera to tak,ze totok bude maximalne stacit...
vsak na obmedzenie bude povedzme stacit,aby to vlastnila skupina www-data a danu zlozku uzivatel,teda risko... a prava nadstavim na 770 a inde sa nedostane...
A ano rozumieme sa,v podstate potrebuje ssl certifikat,co je na mojej domene vyuzit pre dake 2-3 svoje aplikacie...
teda napr
/var/www/forgym.eu/www/risova-zlozkaa prelinkujem to s/home/zlozkarichardaNajprv povedz aký OS používa Rišo.
Potom povedz, ajý veľký problém by mal, keby to testoval na adrese
http://forgym.eu/~richard888 a až keď to trochu rozchodí tak to dáš normálne ako http://forgym.eu/facebookapp/. Totižto, keby to mal všetko v jednom, tak pri nejakom preklepe príde o niekoľko dňovú až niekoľko týždňovú prácu.
bezi na W7,ono kod ma rozbehany,uz len max obrazky potrebuje menit,... nechcem to popravde moc riesit,dakym presmerovanim... ako vravis,http://forgym.eu/~richard888 ,ono aj keby nastal preklep,tak si zalohujem kazdy den mysql a aj /var/www...(clovek nikdy nevie)
takze idealne riesenie pre mna(ulavi mi aj na dusi),by bolo rovno do tej forgym.eu/facebookapp sa dostat cez ftp pristup...
Tak to nech použije winscp, to bude najjednoduchšie. Ten nástroj zvládne používať aj cvičená opica, mám to otestované.
Ono, a keď mu to už chodí, tak si to môže dávať rovno do toho adresára kam si mu to dal a nemusíš riešiť voloviny typu SFTP.
PS: Kde nájdeš ten nástroj winscp, tak to už nehám na Teba. Ale, určite to bude prvý link v google.
a potom pomocou Alias to presmerujem?
Alias /facebook /home/richard/public_html<Directory /ftp/pub/image>
Order allow,deny
Allow from all
</Directory>
chapem to spravne?
este som skusal,prehodit prava,aby mi nemohol brazdnit po masine,
richard888:x:1003:1003::/home/dusan:/bin/bash:/bin/rbash
ale to mi sposobilo,ze som sa nevedel prihlasit... na to kuknem vecer :)
Zatial DAKUJEM VELMI PEKNE !!!
Blogísky im tam zatiaľ asi dávať nebudeš.
ako zamedzim,aby sa mi vrtali v systeme? cital som o chroot a jail,chroot mi prislo ako taka virtualna masina "ak v podstate",nie je :) a potom este o jail,ale to som nasiel navod k sftp nie k scp. nebola by daka rada,alebo smer?
Ale, obvykle stačí, aby mali užívatelia bežné práva bez pridávania zbytočne veľkých oprávnení. Vtedy sa tam síce povŕtajú, ale je im to plat prtné. Nič tam nezmenia mimo ich domovského priečinku. A presne o tom bol pôvodný návrh s testovaním v USERDIR a manuálnym presunom hotových vecí do /var/www človekom spravujúcim danú mašinu.
Ale, keď to silou mocou chceš mať v /var/www, tak máš smolu s tým chrótom. Je to síce možné, ale niekoľko násobne ťažšie ako vysvetliť a aplikovať bežné štandardy.
Pokiaľ užívateľ niečo vytváral v /etc a /var (mimo /var/tmp), tak sa nejedná u užívateľa, ale o správcu systému s právami super užívateľa.
Hostingy si najprv navrhnú bezpečnostný koncept, a potom tomu prispôsobia návod na použivanie. Z toho je potom jasné, kde čo je.
Ty si najprv navrhol kde čo je, a potom sa to snažíš silou mocou zabezpečiť.
Ako keby sa Ti dobre chodilo v teniskách, a chcel by si ísť lyžovať na hory. V teniskách, bez lyžiarok. A pýtal sa koľko ponožiek potrebuješ kým sa naučíš lyžovať aby Ťa nohy neoziabali.
Ponožky = chroot
Tenisky = SFTP
Lyžovanie = webová stránka
Hory = /var/www
mohol by si ma teda odkazat dakde, ci na web,ci kniznu formu. Zaujima ma to,ale neplanujem zatial nic take robit,len si rozsirit svoje vedomosti...
Zaujímavé. Na aký typ literatúry chceš odkázať, na Thóru, Ciolkovského alebo Benedikta Spinózu? Literatúru písali aj Dobšinský, Espinóza a Souček. Vyber si.
Presne kôli tomu som spomenul to podobenstvo s lyžovačkou.
Ktoré z toho Ti bude viac vyhovovať je len na Tebe. Ale, aby si sa k tomu dopracoval, tak si musíš určiť stupeň utajenia a tomu podriadiť návrh danej mašiny.
Neviem, či som to už nespomínal. Ale, asi to bolo zbytočné keďže Ty chceš len rýchlo zahasiť bezpečnostné nedostatky. A normálne riešenie Ťa nezaujíma.
tak aby som to uzrejmil,chcel som to spravit kamosovi tak,ze proste len uz mu dam,pw+login a moze si uz menit veci co potrebuje,ci pridavat dalsie aplikacie.... teraz som mu to rucne hadzal na ten hosting, do zlozky /var/www/forgym.eu/www/facebookapp/richard888
a to by som chcel aj zachovat,nechcem mu to stahovat a robit mu komplikacie,takze idealne by bolo,ak by som mu vedel spravit daky FTP,alebo iny jednoduchy a rozsireny nastroj ako sa tam dostat
ak to chceš urobiť po starom, tak si pozri manuál ku príkazom scp a sshfs. Aby si vedel prečo nepotrebuješ zastaralý (s)ftp. Prenos súborov cez scp je dosť rozšírený.
A štartuj apache s tým parametrom userdir, to aktivuje užívateľské webíky. Aspoň sa to roznesie, a je reálna šanca že sa na to namotajú viacerí.
Mimochodom, keby si povedal čo chceš a nezameriaval sa na to "ako by si to asi tak chcel", tak to už máš hotové.
PS: sťahovať mu to môžeš, nepredpokladám že by používal absolútne cesty. A ak áno, tak eexistuje mod rewrite a symlink.
ono to vyzera na feature,nie moju chybu:)
odkomentuj riadok DefaultRoot ~
a sprav mu shell konto stym ze mu zakazes login na shell v sshd configu a hotovo