[SOLUCIONADO] Permisos del 'settings.php'

#1 (**permalink**) 10/12/2013, 15:14

Me da un poco de verguenza preguntar esto, a estas alturas, pero realmente todavia no se cuales son los permisos que debe tener el archivo 'settings.php'.

¿755 o 555?

En cualquier caso, algo que no entiendo, es que en ambos casos ES POSIBLE LEERLO. Y yo eso no lo entiendo por que en ese archivo es donde esta el nombre de usuario de la base de datos y su contraseña.

Supongo que aunque parezca que se puede leer, en realidad el usuario normal no puede, ¿verdad? ¿por que?

En fin, estoy hecho un lio con esto. ¿Alguien nos lo puede explicar?

MUCHAS GRACIAS A QUIEN CONTESTE.

MarioAraque · #2 (**permalink**) 11/12/2013, 03:21

Yo lo pondría en 444, si algún módulo intenta leerte ese fichero directamente Drupal te pediría que cambies los permisos.

Ese fichero es un .php, leerlo...y si lo ejecutan tampoco obtendrían muchos resultados.
Lo que quizás deberías proteger es tu cron.php ya que si lo ejecutan muchas veces seguidas y tenés muchos módulos instalados puede que tu site vaya lento. Igual eso en caso de que te ataquen la web o cosas más puñeteras.

Saludos.

#3 (**permalink**) 11/12/2013, 06:44

Hola Mario, gracias por contestar.

En primer lugar decir que no me deja ponerlo en 444, y me lo cambia automaticamente a 644 ¿¿??

En segundo lugar sigo sin entender como es posible que el archivo se ponga con permisos de lectura cuando se supone que dentro esta el usuario y la contraseña de la base de datos ¿no se supone que no deberia poderlo leer nadie?

Lo de ejecutar simplemente no lo entiendo ¿que significa 'ejecutar'?

Y por ultimo el tema del cron... me recomiendas protegerlo, pero... ¿como? ¿con unos permisos especiales?

Gracias por tu ayuda en foros del web.

MarioAraque · #4 (**permalink**) 11/12/2013, 06:52

Que lean el settings.php no quiere decir que puedan saber que hay dentro, si no todos los ficheros .php serian vulnerables.

Ejecutar es que alguien ponga tusitio.com/sites/default/settings.php y se ejecute el script. En Drupal eso da un 404 por defecto (si es que pusiste los permisos correctos). Pero si te ponés a analizar, si alguien entra a ese fichero no puede obtener ningun dato, a no ser que vos pongas "echo $userdatabase" (suponiendo que ahi esta el nombre del usuario de la bd), pero como no existe eso, entonces no pasa nada.

Lo que si se ejecuta es el cron.php. Si pones tusitio.com/crop.php, ejecutas el cron, si tenes muchos eventos asociados al cron podes perder rendimiento, pero eso ya depende del sitio.

Cuando instalas un drupal, te pone que cambies los permisos del settings.php para que pueda sacar los datos que pusiste de la BD, pero cuando ya los tiene te pone que cambies los permisos para que nadie mas pueda ingresar a ellos. Aparte si pones 755 o 555 da lo mismo, ya que los permisos publicos solo van a ser de lectura. Y leer no quiere decir que pueden descargar el archivo y leerlo, quiere decir que es un fichero más que publicamente sabes que existe pero privadamente solo Drupal puede ejecutar (por eso el 7).

Saludos.

#5 (**permalink**) 11/12/2013, 07:09

Ok, ahora ya lo entiendo mejor. ¿Entonces el riesgo realmente seria que el 'settings.php' se puediera escribir o ejecutar publicamente?

Y lo del cron, ¿no es posible protegerlo entonces?

MarioAraque · #6 (**permalink**) 11/12/2013, 07:45

Si, escribir sobre todo, porque si lo escriben te sacan la informacion de tu base de datos y tu drupal seguro es hackeado.

Este modulo te servira seguro: https://drupal.org/project/cron_sec

Saludos.

#7 (**permalink**) 11/12/2013, 08:28

Ok. Muchas gracias. De momento no lo voy a instalar, pero lo tendre guardado por si las moscas. Y es que estoy siendo atacado en estos ultimos dias... de ahi mi interes por la seguridad.

#8 (**permalink**) 11/12/2013, 08:33

Hace 48h sufri un ataque DoS, y tengo serias sospechas de que actualmente puede haber gente intentando hackearme la web.

MarioAraque · #9 (**permalink**) 11/12/2013, 08:39

Fijate si esto te sirve: https://drupal.org/project/tinyids

Y este articulo puede ayudarte también: http://www.zyxware.com/articles/2715...he-load-spikes

Saludos.

#10 (**permalink**) 11/12/2013, 12:16

Muchas gracias por la ayuda Mario.