-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
ciao
con il semplice componente joomlaxplorer all'interno del sito mondodicarta ho accesso a tutti i siti internet ospitati da gnumerica, molti anche in scrittura. non so se e' configurato male il chroot, o cose del genere.
siccome verranno gestiti da joomla anche altri siti, penso che sia un problema perche' il componente joomlaxplorer (un file manager) e' abbastanza diffuso.
ricordo poi che la mia chiave gpg e' cambiata, i riferimenti li trovate qui
- -- Per comunicazioni confidenziali usa gpg
gpg --keyserver keyserver.kjsl.com --recv-keys 8EE888F2
Su instant messanging:
iamzamp su yahoo frazamp su gmail iamzamp su jabber frazamp su skype
On Wed, Feb 28, 2007 at 09:35:31PM +0100, Zamp wrote:
ciao
con il semplice componente joomlaxplorer all'interno del sito mondodicarta ho accesso a tutti i siti internet ospitati da gnumerica, molti anche in scrittura. non so se e' configurato male il chroot, o cose del genere.
siccome verranno gestiti da joomla anche altri siti, penso che sia un problema perche' il componente joomlaxplorer (un file manager) e' abbastanza diffuso.
non e' un bug, e' una feature.
secondo me la direttiva open_basedir di php ci puo' venire in aiuto:
http://www.php.net/manual/en/features.safe-mode.php#ini.open-basedir
ma ci vuole un po' di tempo per implementarla, e soprattutto testare per bene tutti i siti. qualcuno l'ha mai usato?
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
marco ghidinelli wrote:
ma ci vuole un po' di tempo per implementarla, e soprattutto testare per bene tutti i siti. qualcuno l'ha mai usato?
E' colpa di joomlaxplorer che non si fa i cazzi suoi e va a vedere se la dir base e' leggibile: http://developer.joomla.org/sf/discussion/do/listPosts/projects.joomlaxplore...
I siti del circolab sono tutti scrivibili dal gruppo www-data, in ogni caso tutto quello che viene fatto via web (quindi via joomla) viene fatto dall'utente www-data che ovviamente a pieni poteri su tutte le cartelle. Il chroot non c'entra nulla.
Oggi provo a dare un'occhiata, comunque non e' prob prioritario: joomlaxplorer e' un componente accessibile solo al superadmin di joomla, chi ha questo ruolo dovrebbe essere in grado di non combinare danni. Inoltre joomlaxplorer e' piuttosto inutile (leggi inutilmente insicuro) sul server del circolab, dove si puo' avere un accesso ftp o sftp a "qualsiasi" cartella.
ola aLe
On Thu, Mar 01, 2007 at 10:34:55AM +0100, aLe wrote:
E' colpa di joomlaxplorer che non si fa i cazzi suoi e va a vedere se la dir base e' leggibile: http://developer.joomla.org/sf/discussion/do/listPosts/projects.joomlaxplore...
beh, dai, non puoi dare colpa a joomlaxplorer.
un include('/etc/passwd') funzionava perfettamente prima del chroot...
I siti del circolab sono tutti scrivibili dal gruppo www-data, in ogni caso tutto quello che viene fatto via web (quindi via joomla) viene fatto dall'utente www-data che ovviamente a pieni poteri su tutte le cartelle. Il chroot non c'entra nulla.
ovvio, tutti i siti sono nel chroot e girano come stesso utente.
Oggi provo a dare un'occhiata, comunque non e' prob prioritario: joomlaxplorer e' un componente accessibile solo al superadmin di joomla, chi ha questo ruolo dovrebbe essere in grado di non combinare danni.
si, ma con una open_basedir giusta evitiamo che si possano includere file a vicenda con login password etc etc.
Inoltre joomlaxplorer e' piuttosto inutile (leggi inutilmente insicuro) sul server del circolab, dove si puo' avere un accesso ftp o sftp a "qualsiasi" cartella.
si', ma se abbiamo dato l'account ftp/sftp...
sarebbe da chrootare anche quello forse??
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
marco ghidinelli wrote:
si, ma con una open_basedir giusta evitiamo che si possano includere file a vicenda con login password etc etc.
fatto o meglio fatto per i siti fuori da gnumerica perche' non possibile fare il rewrite dei parametri di php inclusi nel vhost per il momento li ho limitati a /var/www/gnumerica un via potrebbe essere quella di aggiungere uno o due caratteri (__) davanti ai nomi delle sottocartelle e usare come open_basedir /var/www/gnumerica/__ che meccerebbe tutti i percorsi. Resterebbe comunque possibile accedere da una sottocartella all'altra; verreb esclusa solo la root di gnumerica. altrimenti si spostano i siti dentro gnuemrica e gli si fa la loro bella cartellina
Inoltre joomlaxplorer e' piuttosto inutile (leggi inutilmente insicuro) sul server del circolab, dove si puo' avere un accesso ftp o sftp a "qualsiasi" cartella.
si', ma se abbiamo dato l'account ftp/sftp...
sarebbe da chrootare anche quello forse??
no, basta dargli la home giusta: /var/chroot/apache2/var/www/gnumerica/... o piu' semplicemente /var/www/gnumerica/...
ola aLe
-
aLe -
marco ghidinelli -
Zamp