ograniczony dostęp do wykonywania php przez ftp

Konfiguracja serwerów, usług, itp.
superserek
Posty: 53
Rejestracja: 12 marca 2019, 12:19

ograniczony dostęp do wykonywania php przez ftp

Post autor: superserek »

Czy takie rozwiązanie jest w ogóle możliwe, aby użytkownik FTP miał ograniczoną możliwość buszowania po dysku przy pomocy np. skryptów PHP? Zakładając konto FTP ograniczyłem dostęp tylko do katalogu domowego użytkownika. Jednak są tam pliki np. php w których można umieścić kod który odczyta wszystko to co jest na dysku.

Jest opcja open_basedir w php, jednak skrypt korzysta również w plików które są rozsiane po innych folderach. Mogę je tam dodać, ale ścieżkę do nich można doczytać choćby przez ini_get/all co przy pomocy zeskanowania tych ścieżek ukazuje pliki w całych katalogach.

Jest jakiś inny sposób ograniczenia działania php?
Awatar użytkownika
LordRuthwen
Moderator
Posty: 2324
Rejestracja: 18 września 2009, 21:45
Lokalizacja: klikash?

Re: ograniczony dostęp do wykonywania php przez ftp

Post autor: LordRuthwen »

Tak, uruchomienie php-fpm per użytkownik.
superserek
Posty: 53
Rejestracja: 12 marca 2019, 12:19

Re: ograniczony dostęp do wykonywania php przez ftp

Post autor: superserek »

Tylko jeśli np. domena główna, nazwijmy to panel admina, który odczytuje pliki ze swojego folderu, jak i pliki z folderu podpiętego pod FTP to po wrzuceniu złośliwego kodu przez FTP, zostanie on uruchomiony w panelu, więc nie zablokuje to php-fpm.

Czy coś pominąłem ?
Awatar użytkownika
LordRuthwen
Moderator
Posty: 2324
Rejestracja: 18 września 2009, 21:45
Lokalizacja: klikash?

Re: ograniczony dostęp do wykonywania php przez ftp

Post autor: LordRuthwen »

A niby dlaczego skoro proces php będzie działał z uprawnieniami użyrkownika?
superserek
Posty: 53
Rejestracja: 12 marca 2019, 12:19

Re: ograniczony dostęp do wykonywania php przez ftp

Post autor: superserek »

Ponieważ panel będzie miał inne uprawnienia, główne bez ograniczeń np. standardowo www-data. Odczytując pliki z folderu FTP innego użytkownika, wykona je bezwarunkowo.
fnmirk
Senior Member
Posty: 8295
Rejestracja: 03 grudnia 2007, 06:37

Re: ograniczony dostęp do wykonywania php przez ftp

Post autor: fnmirk »

Ja się na tym nie znam, ale zainteresowałbym się hasłem: listy ACL.
superserek
Posty: 53
Rejestracja: 12 marca 2019, 12:19

Re: ograniczony dostęp do wykonywania php przez ftp

Post autor: superserek »

ACL też nie przejdzie. Jedyna opcja jaka przychodzi mi do głowy to wyłączyć możliwość przesyłania określonych plików po stronie FTP.

Edycja:

Faktycznie, po zrobieniu FPM + open_basedir parser działa poprawnie, nie wiem czemu wcześniej leciało po całości, musiałem nadać złe uprawnienia do katalogu.
ODPOWIEDZ