Server web Apache e permessi

di
wooding2018
il
10 risposte
W
wooding2018
Utente Attivo
Iscritto da
gen, 2021
Messaggi:
55

Server web Apache e permessi

Ciao a tutti,
ho messo su un server web debian con apache ma non capisco come impostare i permessi.

Ad esempio l'utente che visita il sito chi è? e di quale gruppo fa parte?

quali dovrebbero essere i permessi corretti? 755? perche?


Preciso che visualizzo la pippo da un browser da un altro pc (windows) nella mia rete LAN (192.168....)

grazie

10 Risposte

  • C
    cali
    Utente Attivo
    Iscritto da
    apr, 2020
    Messaggi:
    290

    Re: Server web Apache e permessi

    Ciao,
    l'utente che esegue di default è www-data.
    L'utente proprietario della cartella del sito deve essere diverso da l'utente del server per questioni di sicurezza.

    Dai una vista a nginx... Magari ti può interessare, ti è più semplice nella configurazione.

    I permessi li devi dare prima all'utente e gruppo quindi "chown pippo:pippo /pathfolder" e poi i permessi di lettura scrittura ed esecuzione con "chmod 755 /pathfolder". Poi vedi tu come è meglio...

    Poi una volta configurato il tutto porti il contenuto del tuo applicativo o sito e gli dai i permessi a cartelle e file 755.

    Spero di essere stato chiaro.

    Ciao
  • +
    +m2+
    Utente Famoso
    Iscritto da
    mag, 2017
    Messaggi:
    3548

    Re: Server web Apache e permessi

    In realtà manca -R
  • C
    cali
    Utente Attivo
    Iscritto da
    apr, 2020
    Messaggi:
    290

    Re: Server web Apache e permessi

    Il -R se utilizzi il terminale.... Ma se trasferisci il tutto via Filezilla lo fai graficamente dal software.

    Almeno una cosa è più comoda....
  • +
    +m2+
    Utente Famoso
    Iscritto da
    mag, 2017
    Messaggi:
    3548

    Re: Server web Apache e permessi

    L'utente proprietario della cartella del sito deve essere diverso da l'utente del server per questioni di sicurezza.
    Mah, in realtà non proprio.
    Essenzialmente è "chiunque" non sia root
    QUELLO è il "vero" limite di sicurezza, perchè "pialla" tutto.
    Essenzialmente è l'utente su cui funziona il server web.
    Se httpd viene eseguito da root avrà diritti su tutto, il che è male in generale
    (o almeno lo è su sistemi non molto sicuro, come Linux)

    wooding2018 ha scritto:

    Ciao a tutti,
    ho messo su un server web debian con apache ma non capisco come impostare i permessi.

    Ad esempio l'utente che visita il sito chi è? e di quale gruppo fa parte?

    quali dovrebbero essere i permessi corretti? 755? perche?
    Come già detto spesso l'utente, e il gruppo, non sono altro che www-data.
    Dipende, ovviamente, dalla configurazione del singolo sistema.
    Riguardo ai permessi nel filesystem dipende da quale tipologia di sito.
    Per alcuni (es. prestashop) ci sono differenti privilegi per differenti cartelle, in quanto può anche scrivere dei file di log, e per mille altri motivi.
    Alla grossissima 755 non è un granchè, in quanto consente il bit di esecuzione.
    4=leggi, 2= scrivi, 1=esegui.
    Dunque nel tuo caso è
    proprietario fa tutto (4+2+1)=7
    gruppo legge ed esegue (4+1)=5
    tutti leggono ed eseguono (4+1)=5

    Normalmente sarà 4 (cioè solo lettura), e magari 6 (per il proprietario)
    dunque 644

    Proprietario legge e scrive (4+2)=6
    gruppo legge solo (4)
    tutti leggono solo (4)

    Lasciare l'eseguibilità di file all'interno di un albero di un server web non è esattamente la cosa che suggerirei

    Per siti che non loggano (es. scrivono su DB) ci sono anche approcci più restrittivi, tipo 400
    (solo il proprietario LEGGE, neppure scrive).
    Ovviamente per un principiante non è molto agevole.

    ========
    Nel "mondo normale dei dilettanti", cioè dove si usa ad esempio FTP per caricare i siti, l'importante è più il gruppo che l'utente, cioè aggiungere i vari utenti creati al gruppo (come principale) www-data.

    Nel "mondo normale dei un po' meno dilettanti" userai SFTP e la questione sarà ancora più stringente (in quanto non c'è tipicamente la maschera aggiuntiva del server FTP)
  • C
    cali
    Utente Attivo
    Iscritto da
    apr, 2020
    Messaggi:
    290

    Re: Server web Apache e permessi

    Essenzialmente è "chiunque" non sia root
    QUELLO è il "vero" limite di sicurezza, perchè "pialla" tutto.
    Essenzialmente è l'utente su cui funziona il server web.
    Se httpd viene eseguito da root avrà diritti su tutto, il che è male in generale
    (o almeno lo è su sistemi non molto sicuro, come Linux)
    Non capisco cosa vuoi dire...

    Se si fa un chiamata http per esempio a nginx, l'utente è www-data e vuoi scrivere nella cartella se non dai i diritti non puoi scrivere.

    SFTP lo puoi utilizzare anche con Filezilla... Non devi per forza installare un server FTP in linux.

    Ciao...
  • +
    +m2+
    Utente Famoso
    Iscritto da
    mag, 2017
    Messaggi:
    3548

    Re: Server web Apache e permessi

    cali ha scritto:

    Essenzialmente è "chiunque" non sia root
    QUELLO è il "vero" limite di sicurezza, perchè "pialla" tutto.
    Essenzialmente è l'utente su cui funziona il server web.
    Se httpd viene eseguito da root avrà diritti su tutto, il che è male in generale
    (o almeno lo è su sistemi non molto sicuro, come Linux)
    Non capisco cosa vuoi dire...

    Se si fa un chiamata http per esempio a nginx, l'utente è www-data e vuoi scrivere nella cartella se non dai i diritti non puoi scrivere.
    Certo che puoi, perchè c'è tipicamente anche il gruppo www-data
    SFTP lo puoi utilizzare anche con Filezilla... Non devi per forza installare un server FTP in linux.

    Ciao...
    SFTP richiede, per un minimo di livello non bimbomikia, la distribuzione delle chiavi, altrimenti è essenzialmente come FTP.
    La differenza, lo ribadisco, è la maschera, ad esempio umask di vsftpd, vs niente maschera per SFTP
  • C
    cali
    Utente Attivo
    Iscritto da
    apr, 2020
    Messaggi:
    290

    Re: Server web Apache e permessi

    Per le chiavi SFTP concordo...

    Bè... Se fai un chown pippo:www-data /cartella
    Poi fai un chmod 755 /cartella quando andrai a scrivere da richiesta http non scrivi.

    Ciao...
  • +
    +m2+
    Utente Famoso
    Iscritto da
    mag, 2017
    Messaggi:
    3548

    Re: Server web Apache e permessi

    Il dispari è eseguibile.
    Il che vale per gli script.
    Iniezione di codice malevolo dentro post o qualsiasi cosa
    Dunque niente dispari se non strettamente necessario

    La differenza principale tra ftp e sftp è che nel secondo caso sono utenti del sistema operativo, nel primo no (mi riferisco a configurazioni normali).
    Il mappaggio utente ftp utente OS è frequente, ma non obbligatorio (risparmio spiegone)
    Dunque è facile dare diritti in più o in meno (99.9% in meno) agli utenti ftp, rispetto a quelli sftp.
    Metti una maschera globale e bon tutti gli utenti ftp veri o finti perdono alcuni dei loro privilegi
  • C
    cali
    Utente Attivo
    Iscritto da
    apr, 2020
    Messaggi:
    290

    Re: Server web Apache e permessi

    Si, só che con 5 puoi eseguire... Il mio era un esempio semplice... Se uno è interessato approfondisce...

    Si darà solo lettura...

    Se fosse esposto... Si setta un certo modo.

    Puoi anche fare un reverse proxy...

    Ci sono modi e modi per creare una struttura.

    Penso che sai benissimo... La maggior parte dei ws è linux... Come per esempio Google.

    Ciao e buona domenica....
  • X
    xxrickyxx
    Utente Attivo
    Iscritto da
    lug, 2020
    Messaggi:
    56

    Re: Server web Apache e permessi

    L utente che arriva dal web e' www-data quindi se devi dare permessi ad una cartella che deve essere pubblica su internet dai un chown -R www-data:www-data e poi il percorso della cartella
Devi accedere o registrarti per scrivere nel forum
10 risposte