[Topic Chiuso] - Permessi cartelle

[santograz]

Ciao a tutti,

vedo che su questo forum si fanno molte discussioni sulla sicurezza e, in particolare, sul problema dei permessi da dare alle cartelle in cui Joomla deve andare ad inserire e creare dei file.

Premetto che questo post vuole essere una provocazione per attirare, nella discussione, quelli tra noi che sono più esperti in problemi di sistema e di sicurezza, al fine di trattare al meglio un problema che sicuramente interessa tutti noi.

Veniamo al dunque:

Penso siamo tutti d'accordo sul fatto che Joomla, per funzionare corretamente ha bisogno di accedere ad alcune cartelle (almeno quelle contenute nel test "Info->Permessi cartelle").
Siccome per fare ciò, Joomla deve accedere a queste cartelle attraverso script PHP che "girano" sotto il server, mi pare ovvio che più avanti non tratteremo di attacchi perpetrati attraverso script PHP, appunto o da parte di "attaccanti" che riescano ad impersonare l'utente sotto cui gira il server.
Ultima premessa: mi pare ovvio che l'utente non debba cedere alla tentazione di settare i permessi di tali cartelle al livello più alto (777) prima di aver verificato la configurazione del server ed aver fatto qualche prova più cauta.

Detto questo, la mia provocazione è:

Qual'è il rischio, reale e pratico, che mi assumo settando i permessi della cartella /administrator del mio sito al livello massimo? (777)

Naturalmente ho scelto questa cartella, democraticamente, perchè è la prima nella lista del suddetto test, ma sarebbe interessante esaminarne anche altre.

Grazie a tutti quelli che vorranno partecipare alla discussione.

[mau_develop]

guarda che non è un discorso di provocazioni o meno.

777 333 222 111 non voul dire nulla al di fuori dell'ambiente dove gira.

puoi usare un auto di cui hai le chiavi?

ni, dipende se l'auto di cui hai le chiavi sta in un box di cui non hai le chiavi.

M.

EDIT: ...mmmhh stavo pensando... mi sa che stai facendo confusione.

non è che non si possano mettere i permessi a 777, sul mio server, in casa mia faccio ciò che voglio... sono i perchè ho bisogno di metterli che a volte è dettato da una forzatura perchè non si riesce a fare qualcosa, mentre dovrebbe essere una scelta ponderata.

Comunque tu acceda :80 sei un user, anche se sei admin.
Solo che se sei admin puoi far fare delle cose a Joomla, che le farà con le autorizzazioni del gruppo di appartenenza.

Perchè parlo di gruppo? perchè immagino tu sia su un server condiviso dove root avrà permesso di fare qualunque cosa dappertutto (qs è da vedere, per ora prendila così) poi ci saranno tante home, ognuna appartenente ad un gruppo.

root è il proprietario di un condominio

il condominio è abitato da gruppi familiari

I gruppi familiari sono frequentati da familiari e conoscenti

i familiari possono quindi essere semplici frequentatori di un gruppo o appartenervi

se vi appartengono hanno più potere rispetto agli altri visitatori perchè possono interagire a livello più alto con gli altri appartenenti del gruppo.

Quindi affinchè qualcuno inavvertitamente non zompi addosso alla mia sorellina è necessario che sia permesso solo a quelli del gruppo familiare zompare addosso alla sorellina, che lo faranno per fargli le feste e non per trom...

e qui vediamo l'eccezione di prima... secondo me non è nemmeno giusto che lo possa fare il proprietario del palazzo... solo che l'hosting non è mio
Solo perchè è il proprietario non è detto che non sia a sua volta vittima di "costrizioni" altrui.

Questa è la logica di un condominio,... poi c'è un'altra eccezione.... io sono il proprietario del condominio e negli appartamenti abitano i miei familiari (il mio gruppo di prima)

quindi a seconda di chi occupa cosa e come lo occupa devo dare dei permessi.

ah... joomla in una normale configurazione apache su hosting condiviso è gruppo.


Il caso di virtualhost per proprietario (villetta) lo ricondurrei al caso condominio familiare

Poi c'è un altro parametro che è possibile configurare in apache ed è quello che il più delle volte crea casino.
se usi ubuntu e non configuri apache tutte le volte che installi qualcosa devi fare un bel sudo chown per risistemare tutto, sempre che l'installazione riesca.

Visto dal punto della sicurezza... ti metterai a ridere ma ti rispondo proprio boh.... cosa mi frega di come hai lasciato i permessi se posso fare un'inj una rfi, lfi etc?

...10 secondi e di quel server ti stacco anche la spina se vuoi...

... se non l'ha configurato mmleoni che mi ha messo in chroot mi ha disabilitato i cmd e il server non mi consenta atri esploit (raro)

[santograz]

Ma intanto, alla mia cartella /administrator settata a 777 non mi hai spiegato come ci entri senza passare per uno script. E soprattutto, non ho ancora capito che pericoli mi puoi creare.

[vamba]

Scusa un attimo
non digerisco molto bene questa parte della tua introduzione.

Premetto che questo post vuole essere una provocazione per attirare, nella discussione, quelli tra noi che sono più esperti in problemi di sistema e di sicurezza, al fine di trattare al meglio un problema che sicuramente interessa tutti noi.

Chiedo nuovamente e cortesemente di evitare di aprire topic con l'intenzione di ottenere, (anche se a fin di bene come tu praticamente stai dicendo), l'alimentazione di una polemica online su questa board.

Non vorrei che domani si svegliasse qualcuno è aprisse un topic del tipo "La Terra è quadrata, solo per vedere chi lo sconfesserà, dato che lui in quel modo, riesce a tenere in ordine lo scaffale con un mappamondo cubico invece che sferico.

Ora ... la problematica dei permessi non è che sia un argomento poco importante, ma non si deve cadere nell'errore che ciò che a noi pare la soluzione definitiva debba per forza essere la soluzione definitiva per tutti.

Chiudo questo Post e invito le coloro, che avessero avuto intenzione di replicare a questo topic, a scrivere un articolo da pubblicare in home negli articoli della community, in questo modo sarà molto più utile di un topic che probabilmente si avviava a candidarsi un contenitore di possibile flames.