php i iptables, a bezpieczenstwo

Jacek Paszek jpaszek w betasoft.pl
Pon, 29 Paź 2007, 16:55:01 CET


Dnia 29-10-2007, pon o godzinie 12:00 +0100,
pld-users-pl-request w lists.pld-linux.org napisał(a):
> 
> Mam takie dziwne rozwiazanie ze dla konkretnego usera w sieci moge
> ustawic powiadomienie www (musi potwierdzic ze odczytal).
> Na ten czas przekierowuje ruch www na pewien port gdzie taka
> infomracja sie dla niego znajduje.
> Jak na razie rozwiazanie bylo takie ze skrypt php (www) wpisywal
> regulki do pliku, a 
> w cronie co minute sprawdza sie czy jest cos nowego i uruchamial te
> regulki i tyle. 
> Ewentualnie przy uruchamianiu/restartowaniu serwerka regulki byly
> wykonywane jako dodatek do skryptu.
> Nie jest to chyba najbezpieczniejsza metoda  i stad moje pytanie.
> Jak mozna to zrobic ladnie i bezpiecznie ?
> Za konstruktywne uwagi dziekuje :) 

Bezpieczniejsze (nie wymagające ustawiania prawa zapisu dla www do pliku
regułek) byłoby takie rozwiazanie:
1) za pośrednictwem jednego skryptu przez strone www zapisuje regułki do
bazy danych (wcześniej porządnie waliduje na zasadzie domyślnego
zabraniania - czyli że dobre jest tylko to co dobre a nie to co nie jest
złe).
2) za pośrednictwem drugiego skryptu odpalanego z crona wyciąga regułki
z bazy danych i zapisuje je do pliku, który następnie czyta firewall

Przy odpowiednim zabezpieczeniu plików konta użytkownika obsługiwanego
przez Apache, złamanie zabezpieczeń będzie wymagać sporo gimnastyki -
nawet dla userów shellowych.

Wogóle to trochę NTG.

-- 
Jacek Paszek, Szef zespołu
Dział Oprogramowania
BetaSoft Sp. z o.o.; pl. Warszawski 10; 41-800 Zabrze (biuro handlowe)
tel.: 032 376-75-75; fax: 032 376-95-95; tel. kom.: +48 516 009 820
BetaSoft Sp. z o.o.;pl. Kościuszki 9; 41-902 Bytom (siedziba firmy)
KRS 0000244895; Sąd Rejonowy w Katowicach;
NIP 627-13-42-796; Kapitał zakładowy: 1 140 000 PLN



Więcej informacji o liście dyskusyjnej pld-users-pl