Permisos en apache2 para blogs y CMS a través de SuPHP y www-data ¿Buena idea?

Buenas chicos

Estoy configurando un servidor apache2+php5+mysql+phpmyadmin (vamos LAMMP de toda la vida)

El caso es que para instalar cosas como Wordpress o Moodle, siempre tengo problemas de permisos, y la última vez que probé había que ir cambiando permisos para que las instalaciones pudieran crear el "configurador" php, o para poder subir imagenes usando wordpress o moodle, siempre los mismos problemas de permisos y no había manera

Tras estos problemas, he optado por la opción que me recomendaron y es usar el módulo de apache2, SuPHP para que el "cliente" a la hora de instalar y sobre todo a la hora de subir cosas, usara php-cgi, o lo que es lo mismo, que usara los permisos del usuario "local" del servidor

Al activar el módulo SuPHP seguidamente tuve que dotar de permisos al grupo www-data en modo lectura y escritura, aunque el propietario sea root, no importa... A partir de esto todo está funcionando como es debido.

Es recomendable hacer esto?

Todo lo que está debajo de /www/ quedará así



No se si es lo más seguro o no, el usuario www-data que pongo con permisos de leer y escribir, tiene muy bajo nivel de permisos, así que no se si es mejor esto, o crear un usuario específico o como véis el asunto?

Gracias

Abre terminal:

$ sudo su
pass:
# nautilus

Se abre interface y mueves lo que quieras sin problemas de permisos.
Mueves a /var/www/ los archivos de wordpress

Cierras nautilus y en el terminal

# chmod -R 755 /var/www/

Sabias que tanto moodle como wordpress en sus manuales ya te dice que tienes que darle permisos 777 a ciertos directorios y archivos ?? miralo

Des`pues de saber cuales son en el terminal como super usuario siempre

# cd /var/www/
# ls

te listara todo lo que hay en www y ahi comienzas a dar pèrmisos por ejemplo que es a un directorio llamado pepito

# chmod -R 777 directorio

que es a un archivo

# chmod 777 archivo

Date cuenta que cuendo instalas lamp el directorio web /var/www/ tiene permisos 755 podrias darle permisos

# chmod -R 775 /var/www/

pero no te lo recomiendo por seguridad.

Un saludo

Entonces esto que he realizado del uso de SuPHP + permisos de lectura y escritura a todo lo que cuelga /www/ para el grupo www-data ¿Lo ves inseguro?

Tenía entendido que con www-data no había problema ya que tiene un bajo nivel de permisos

Ya te dije, yo por seguridad no trabajo asi.
Que es un poco mas incomo, pero es mas seguro.

Ya te dije que hay ciertos archivos y carpetas en wordpress y moodle que tienes que darles permisos 777, no hay otra forma, haaaaaaaaa y al final de la instalacion de wordpress o moodle no te olvides de eliminar el directorio de instalacion.

Ademas de todo esto, en mi ubuntu tengo instalado DenyHost para los ataques por fueza bruta y para lops ataques DOS a pache el modulo evasive de apache.

Un saludo

Ya ya, si lo que yo quería saber hasta que punto es "inseguro" el trabajar así con el SuPHP y permisos a www-data en la carpeta /www/ porque leo en todas partes que los permisos de dicho grupo y usuario son insignificantes para que puedan hacer un destrozo :)

Sobre lo que comentas me interesa, el DenyHost y el Evasive que son módulos o programas a parte?

Por otro lado te comento, ya de paso a ver si sabes... He configurado WP para que las actualizaciones se hagan automáticamente vía SSH. Tengo que crear un usuario con permisos para que pueda escribir en el directorio WP

Lo que he echo es crear un usuario con el home en /www/wp y dentro del gurpo www-data que es el que tiene los permisos. También he creado en el fichero de sshd_conf que este usuario esté en AlloWusers ya que tengo el acceso restringido a un usuario y no es el root lógicamente ¿Estaría bien así o tendría que quitar permisos a este nuevo usuario como por ejemplo el que no pueda logarse en sistema y solo en SSH? Y a parte, ¿enjaularlo en el directorio www?

Para enjaularlo será el mismo método que para el SFTP supongo

Para comenzar, yo no dejo que se actualize solo, lo hago yo a mano.
Por cierto, cuidadito con los skinds de wordpress y donde los compras jajaja hay circulando rumores por ahi.

Solo una cosa, No hay nada imposible en esta vida jajajaja solo librarse de la muerte jajaja perdona pero me entro la risa. Si mal no me equivoco y si no corregidme es casi como trabajar con permisos 775 en www.
Ahora si se te cuelan como su sera inmenso.........................
Yo por eso no trabajo con grupos y sus permisos, no me gusta no es que este mal hecho, prefiero trabajar con los permisos directamente y usuarios.
Por ejemplo si creo un nuevo virtual host para otro dominio creo su usuario y en su directorio personal home/usuario le dejo caer su www, por lo que ya tendria permisos etc etc .......

Deny host si es un programa que se instala en ubuntu para limitar los intentos de entrada y su ip asociada que la pone en lista negra.

mode_evaive no, es un módulo de apache contra los ataque DOS, busca lo que es para que no sea largo esto.

Como siempre y umilde pues se que mis conocimientos son limitados, corregidme si me equivoco.

Un saludo

Todos nuestros conocimientos son limitados, para eso estamos para el feedback :) y sobre todo en Linux que nadie tiene los conocimientos profundos en nada jajaja lo bueno es la comunidad

No obstante gracias por todo, aunque Linux de por si es seguro, el usuario su tiene su contraseña de 16 caracteres y no es usado, hay que darles las pinceladas de seguridad como lo que cuentas... sobre todo con cosas que salen al exterior como este caso Apache, las bases de datos de MySQL...

Yo soy (seré en breve) analista en seguridad informática, y aún así, a nivel de sistemas operativos sobre todo linux, el cerrarlo totalmente es complicado de investigar. Para Windows a pesar de ser "coladero" es más fácil el tema de la seguridad... Digamos que Linux está echo más para ver vulnerabilidades y Windows para taparlas jajaja

Cuando termine el blog, no obstante me haré una auditoría y veré que es lo que necesito tapar, porque ver las vulnerabilidades de mi salida a internet es fácil, lo dificil es saber como taparlas jajaja

Saludos!! y a ver si alguien más se apunta a discurrir esto

jajajaja, yo comence directamente con freeBSD y despues a Ubuntu jajaja ruindows en server nunca lo he instalado, aunque si lo he trabajado.

A ver si compartiendo se va aprendiendo yo igual cada dia solo se que cada vez se menos jajaja.

Un saludo

Cierto, más tecnología, menos tiempos y se siente uno desvordado jaja

Llevo rato usando suphp y me tiene contento :) lo que hace es crear un proceso de php que corre bajo el mismo usuario/grupo que el docroot de tu sitio, por lo que ya no hay que usar permisos 777 para nada. Un 644 para archivos y 755 para carpetas es mas que suficiente.

Con eso, lo que dice manyblue de "Ya te dije que hay ciertos archivos y carpetas en wordpress y moodle que tienes que darles permisos 777, no hay otra forma" no es verdad, funciona sin problemas con esos permisos. A mi modo de ver es mas seguro.

Cuando configuro un server con apache+php, suelo crear un usuario con su /home/usuario, dentro meto una carpeta public_html o www (es a gusto, realmente) y con suphp, queda el proceso de phpcorriendo bajo ese usuario.

Saludos!

Entonces como yo he usado el SuPHP está mal? Después de instalarlo y configurar el par de archivos, (siguiendo este tutorial: http://cyberia.mx/tech/desarrollo-we...en-ubuntu.html

Yo he usado ese tutorial, seguidamente di permisos de lectura y escritura al grupo www-data a la carpeta /www/

¿Cómo lo has echo tú? Yo es que no he creado otro usuario para esto, porque solo será un servidor Web y no tendré otros usuarios aparte del mio y el root y los que tenga el sistema

Saludos