07/01/2004, 11:04
| ||||
| ||||
| Debian, modificando passwords Hola tengo una aplicación en la cual los usuarios se autentican sobre una base de datos (MySQL) donde está su nombre y password (encriptado en md5) el usuario una vez autenticado posteriormente puede acceder a su perfil y modificar dicho password. La aplicación corre bajo Debian, y la duda es que no se como hacer de la forma más segura posible que los usuarios cuando cambien su password además de cambiarse en la base de datos lo haga también en la cuenta que tienen en el sistema (la cuenta coincide siempre con el nombre de usuario que se usa en la aplicación) pero como digo de la manera más segura posible (no tengo apenas idea sobre Debian por eso prefiero preguntar antes de ponerme a escribir nada).  Gracias |
|
07/01/2004, 11:15
| ||||
| ||||
| Puf eso es mu inseguro jeje se podria hacer tirando de exec() e indicando los comandos pertinentes al estilo de adduser y demas, lo que pasa es que mezclar los users de una web con los users de una maquina ... ai ai ai jeje es algo chungo  nose por que me da ... que lo que quieres es crear cuentas en el servidor a via web, lo puedes hacer jeje pero es inseguro (hasta cierto punto) ya que las cuentas las crea el administrador, y PHP jeje no es el administrador del servidor  asi que ... no seria muy aconsejable, dependiendo del tipo de aplicacion podras resolverlo de una manera u otra ....Saludillos!
__________________ Usuario registrado de Linux #288725 |
|
07/01/2004, 11:21
| |||
| |||
| Pues que tus usuarios de esa aplicación sean a su vez usuarios del sitema y .. que ellos puedan ir cambiando sus passwords desde PHP es altamente inseguro. Lo ideal en estos casos es que tus aplicaciones/servicios tengan sus própios usuarios -independientes- del sistema operativo. Si necesitas usuarios del "sistema" por qué usas algún servidor FTP, Mail .. etc que los requiere . informate antes bien .. por qué hay formas de que esos usuarios estén en una BD Mysql por ejemplo o en otros médios sin que tengan que ser a la fuerza usuarios del sistema Operativo. ------ PHP .. al salir al S.O. sale con usuario "Nobody" o bien el que use "Apache" o el servidor HTTP que lo corra. Ese usuario no tiene (deberia) permisos para crear usuarios en el Sistema o cambiar passwords de estos. Por eso, tendrías que usas algún comando/aplicación tipo: su (para tu servidor Linux-Debian) para que desde PHP "cambies" de usuario y dese ahí lances el comando a la shell (línea de comandos) para ejecutar la sentencia de creación de usuario/cambios. Para eso emplearias la función exec() de PHP (o afines .. hay várias) Un saludo,
__________________ Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo. |
|
07/01/2004, 11:42
| ||||
| ||||
| Pues me habéis dejado desinflado porque pensaba que podría haber alguna manera "segura" de hacerlo con php sin comprometer la seguridad del sistema. Os aclaro más el tema y así quizas me podáis dar alguna solución que comprometa la seguridad lo menos posible. Los usuarios de la aplicación tienen todos cuenta en el sistema, de hecho el objetivo de la aplicación es crear una capa intermedia que permita a los usuarios usar los servicios de la máquina sin tener ni idea de linux, los servicios que usan son los de correo electrónico, y también pueden publicar su web (las webs las publican en el home/nombreusuario cada uno) como comento los usuarios no tienen ni idea de debian con lo cual sería muy cómodo el que pudieran cambiar el password desde la aplicación sin tener que usar la consola. |
|
07/01/2004, 13:27
| |||
| |||
| Pues .. en principio puedes hacerlo como ya te hemos comentado . .usando la función exec() y lanzando el comando que necesites. Pero ..si dices que esos servicios del sistema son: e-mail y web (tal vez son usuarios de un FTP?) ... Como ya te he comentado .. existen formas para tener esos usuarios independiente de los usuarios del S.O. para esas aplicaciones. (en el foro Linux seguro que te orientaran mejor al respecto). Un saludo,
__________________ Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo. |
|
07/01/2004, 14:06
| ||||
| ||||
| Gracias Cluster, hay una persona que se encarga del tema de administración del servidor, él me comentó si se podía hacer con php esto de cambiar los password de forma segura y desde la aplicación (vía web) por eso he trasladado la pregunta aquí, he olvidado decir que la aplicación chuta toda bajo SSL así que haré lo que finalmente me digáis (que para eso tenéis bastante más experiencia) ¿tiro para adelante con el exec() o bien le digo al administrador del sistema que de eso nada que es muy inseguro y que lo haga él de otra manera? Gracias y perdonad que insista pero es que soy un poco "paranoico" con el tema seguridad  Saludos |
|
07/01/2004, 14:25
| |||
| |||
| Pues si tu aplicación corre bajo SSL .. prueba con exec() .. pero asegurate bien de filtrar el dato que ingrese el usuario (ese password). Eso es lo que más te tienes que preocupar de la parte PHP. El comando exacto que tienes que ejecutar ya te lo dirá esa persona encargada de la Administración de ese Sistema. Un saludo,
__________________ Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo. |
