/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
UNIX eller .htaccess til adgangsbegrænsnin~
Fra : Jørgen L Sørensen


Dato : 09-09-02 23:49

På nogle webhoteller kan man på UNIX(lignende) servere begrænse
adgangen til mapper således at besøgende skal indtaste et brugernavn
og en adgangskode (sker f.eks. i et webinterface på struer.net).

Man kan også, for så vidt angår Apache web-servere, lave
adgangsbegrænsning ved hjælp af .htaccess.

Er der væsentlig forskel på sikkerheden for .htaccess contra UNIX
adgangsbegrænsning?

Jeg har prøvet (på struer.net) at lave beskyttelse af mapper, hvilket
må være operativsystemet (UNIX) der styrer det. Ulempen er at hvis man
har flere mappe-strukuter ved siden af hinanden (f.eks. hvis Far, Mor
og et par børn har hver deres mappe i toppen af webbet ) bliver det
lidt bøvlet: Hvis en bruger, eksempelvis "Familien", skal have adgang
til alle 4 strukturer, skal "Familien" oprettes alle 4 steder - og
dermed skal password også ændres flere steder hvis man senere ønsker
at ændre det.

Jeg kunne forestille mig at det er nemmere at styre i .htaccess - men
har ikke sat mig ind i det endnu. Det vil jeg først gøre hvis
..htaccess kan konkurrere (nogenlunde) med operativsystemets
adgangsstyring med hensyn til sikkerhed.

Jeg har ikke forstand på UNIX - så undlad så vidt muligt de langhårede
grundige forklaringer :-/


--
mvh
Jørgen L. Sørensen

 
 
Alex Holst (10-09-2002)
Kommentar
Fra : Alex Holst


Dato : 10-09-02 03:08

Jørgen L Sørensen <neryt@email.invalid> wrote:
> Er der væsentlig forskel på sikkerheden for .htaccess contra UNIX
> adgangsbegrænsning?

Som du selv skriver er det dit OS der laver adgangskontrol paa
filsystemet, og det er Apache der laver adgangskontrol internt i dens
kode naar du bruger .htaccess -- i naesten alle tilfaelde er der nok
mere grund til at stole paa dit OS end paa Apache. At doemme efter hvad
du skriver er Apache muligvis Godt Nok til dig.

> Jeg har prøvet (på struer.net) at lave beskyttelse af mapper, hvilket
> må være operativsystemet (UNIX) der styrer det. Ulempen er at hvis man
> har flere mappe-strukuter ved siden af hinanden (f.eks. hvis Far, Mor
> og et par børn har hver deres mappe i toppen af webbet ) bliver det
> lidt bøvlet: Hvis en bruger, eksempelvis "Familien", skal have adgang
> til alle 4 strukturer, skal "Familien" oprettes alle 4 steder - og
> dermed skal password også ændres flere steder hvis man senere ønsker
> at ændre det.

Dette afsnit forstaar jeg muligvis ikke. UNIX har som standard ikke ACL,
men benytter sig af permissions. Du er saaledes begraenset til at give
laese, skrive og execute adgangs for hhv. brugeren, gruppen og resten af
verdenen.

Saa laenge du kun har een maskine skal du kun oprette en bruger een gang
og vedkommende har kun eet kodeord. Faktisk vil brug af .htaccess give
dig et administrativt overhead da brugernavne og kodeord skal oprettes
seperat.

> Jeg kunne forestille mig at det er nemmere at styre i .htaccess - men
> har ikke sat mig ind i det endnu. Det vil jeg først gøre hvis
> .htaccess kan konkurrere (nogenlunde) med operativsystemets
> adgangsstyring med hensyn til sikkerhed.

Hvis det virkeligt er et familien system skal det vel ikke vaere
"perfekt" sikkerhed? Lige nu er der ingen kendte fejl i Apache
adgangskontrol. Kunne det taenkes dit system er saa vigtigt at nogen
ville bruge tid paa at finde et sikkerhedshul i Apache for at bryde ind
i din maskine?

Jeg kan ikke se hvordan UNIX permissions kommer ind i at adgangskontrol
gennem Apache. Det er jo to forskellige maalgrupper. Det ene bruges til
at begraense lokale brugere, det andet til at begraense brugere som kun
har adgang gennem en webbrowser.

Hvad forsoeger du at opnaa?

> Jeg har ikke forstand på UNIX - så undlad så vidt muligt de langhårede
> grundige forklaringer :-/

Hvordan du har taenkt dig at faa et sikkert system med den holdning maa
guderne vide.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Jørgen L Sørensen (14-09-2002)
Kommentar
Fra : Jørgen L Sørensen


Dato : 14-09-02 15:02

On Tue, 10 Sep 2002 03:07:51 +0100, Alex Holst <a@mongers.org> wrote:

>Jørgen L Sørensen <neryt@email.invalid> wrote:
>> Er der væsentlig forskel på sikkerheden for .htaccess contra UNIX
>> adgangsbegrænsning?
>

[klip en hel masse]

>
>> Jeg kunne forestille mig at det er nemmere at styre i .htaccess - men
>> har ikke sat mig ind i det endnu. Det vil jeg først gøre hvis
>> .htaccess kan konkurrere (nogenlunde) med operativsystemets
>> adgangsstyring med hensyn til sikkerhed.
>
>Hvis det virkeligt er et familien system skal det vel ikke vaere
>"perfekt" sikkerhed? Lige nu er der ingen kendte fejl i Apache
>adgangskontrol. Kunne det taenkes dit system er saa vigtigt at nogen
>ville bruge tid paa at finde et sikkerhedshul i Apache for at bryde ind
>i din maskine?
>
>Jeg kan ikke se hvordan UNIX permissions kommer ind i at adgangskontrol
>gennem Apache. Det er jo to forskellige maalgrupper. Det ene bruges til
>at begraense lokale brugere, det andet til at begraense brugere som kun
>har adgang gennem en webbrowser.
>
>Hvad forsoeger du at opnaa?

Jeg vil begrænse adgangen til nogle websider så man skal kende
brugernavn og adgangskode for at se dem. Det er altså ikke nødvendigt
med "perfekt sikkerhed".

Jeg har lige haft fat i min udbyder igen efter at have læst dit svar,
og jeg må åbenbart have misforstået noget tidligere - på et mere
direkte spørgsmål denne gang fik jeg oplyst at det er webserveren
der styrer den adgang jeg opretter. Altså ikke operativsystemet som
jeg troede. Det synes jeg også passer udmærket med et du skriver.

Så jeg anset mit problem for afklaret.

>
>> Jeg har ikke forstand på UNIX - så undlad så vidt muligt de langhårede
>> grundige forklaringer :-/
>
>Hvordan du har taenkt dig at faa et sikkert system med den holdning maa
>guderne vide.

Her er jeg ikke enig med dig, eller vi taler forbi hinanden:

Jeg i har i nogle gruper (særligt dk.edb.*) konstateret at en del
skribenter i kraft af deres viden svæver et stykke over en del af os
andre.

Når folk inden for samme fag taler indbyrdes er der som regel en masse
indforståede vendinger og fag-udtryk. Det gør det jo ikke altid
nemmere for en udenforstående lige at sætte sig ind i meningen med
snakken. Derfor skrev jeg at jeg så _så vidt muligt_ ikke ville have
langhårede forklaringer - simpelt hen fordi en forklaring i
"ekspert-sprog" ville kræve en "dekodning" og nok rejse nye spørgsmål
i modsætning til et svar i mere "almindeligt" sprog. Jeg er dog på det
rene med at man ikke altid kan undgå fagudtryk - derfor mit "så vidt
muligt"

Der er altså ikke tale om at jeg er uvillig til at gøre indsats for
at sætte mig ind i stoffet - hvilket du åbenbart tror (hvis jeg
forstod dig korrekt).

Takker ellers for dit svar.


--
mvh
Jørgen L. Sørensen

Jakob Goldbach (10-09-2002)
Kommentar
Fra : Jakob Goldbach


Dato : 10-09-02 07:43

On Tue, 10 Sep 2002 00:48:54 +0200, Jørgen L Sørensen wrote:

>
> Er der væsentlig forskel på sikkerheden for .htaccess contra UNIX
> adgangsbegrænsning?
>

Med mindre at du sætter (en en anden har gjort) SSL op så vil
dine passwords sendes ucrypteret hen over nettet og andre kan
(principielt) sniffe dem.

> Jeg har prøvet (på struer.net) at lave beskyttelse af mapper, hvilket må
> være operativsystemet (UNIX) der styrer det.

Hvad får dig til at tro det ? - hvordan virker det ?
For mig lyder det bare som Apache (.htaccess)

Bemærk: Apache kan godt sættes op til kigge i en underliggende
database som muligvis også styrer din ftp adgang. Er det det du mener
med UNIX adgangsbegrænsning - eller har du rent faktisk shell adgang
til struer.net ?

Jørgen L Sørensen (14-09-2002)
Kommentar
Fra : Jørgen L Sørensen


Dato : 14-09-02 15:09

On Tue, 10 Sep 2002 08:43:29 +0200, Jakob Goldbach
<goldbach@imf.au.dk> wrote:

>On Tue, 10 Sep 2002 00:48:54 +0200, Jørgen L Sørensen wrote:
>
>>
>> Er der væsentlig forskel på sikkerheden for .htaccess contra UNIX
>> adgangsbegrænsning?
>>
>
>Med mindre at du sætter (en en anden har gjort) SSL op så vil
>dine passwords sendes ucrypteret hen over nettet og andre kan
>(principielt) sniffe dem.

Tak for hintet - jeg er opmærksom på at det ofte kan være et problem,
særligt hvis det er brugeren der opgiver et password som vedkommende
også bruger til andre (vigtigere) system. Men her er der tale om nogle
grupper hvor jeg vil oprette brugernavn og password. Derfor vil en
snifning "kun" give adgang til de websider som jeg ikke lige vil have
helt offentlige - den risiko kan jeg godt kan leve med.

>> Jeg har prøvet (på struer.net) at lave beskyttelse af mapper, hvilket må
>> være operativsystemet (UNIX) der styrer det.
>
>Hvad får dig til at tro det ? - hvordan virker det ?
>For mig lyder det bare som Apache (.htaccess)
>
>Bemærk: Apache kan godt sættes op til kigge i en underliggende
>database som muligvis også styrer din ftp adgang. Er det det du mener
>med UNIX adgangsbegrænsning - eller har du rent faktisk shell adgang
>til struer.net ?

Der et tale om at ændre adgang via en browser/webside (https) til
noget PLESK - som jeg skrev til Alex Holst har jeg på et direkte
spørgsmål til Struer.net fået oplyst at det er webserveren der styrer
det (nøjagtig hvordan fik jeg ikke at vide).

Jeg anser mine spørgsmål afklaret for denne omgang.


--
mvh
Jørgen L. Sørensen

Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408878
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste