Chmod + Mod rewrite per aumentaare la sicurezza

[gianiaz]

ehm si...

Provo a spiegarti meglio, su un sistema linux ogni programma gira tramite un utente.

Ad ogni utente puoi assegnare un gruppo, e la trinità di terzine dei permessi si riferiscono all'utente, al gruppo e a tutti gli altri.

Quindi se tu ad un file che appartiene ad apache, al gruppo pippo

file apache pippo -rwxr-----

Vuol dire che apache potrà leggere scrivere ed eseguire il file, gli utenti che condividono con apache il gruppo potranno solo leggere, gli altri niente.

Questo però vale sul sistema, quindi per gli utenti che stanno sul sistema e vi accedono tramite login diretto, tramite ssh o telnet.

Per quanto riguarda gli utenti che accedono via web, faranno le loro richieste al web server, che sul sistema gira come utente "apache", e quindi richiederà al sistema i files presentandosi come apache, e il sistema restituirà i files che l'utente può leggere.

Vedi che a questo livello non c'è una distinzione tra utente web e utente della macchina stessa, perchè sono la stessa entità.

Tramite apache/htaccess invece puoi distinguere l'utente per ip di provenienza, e filtrare cosa servire e cosa non servire al richiedente.

ciao

[gianiaz]

Originariamente inviato da MicheleWT
ho trovato e inserito questo in .htaccess per bloccare la lista file, e funziona bene:

Options All -Indexes

però mi rimanda a 404, invece vorrei non perdere la visita ma rimandare a homepage.html

un punto è quasi fatto, ma puntando a un singolo file .jpg scarico l'immagine, questo non è bene.

grazie lo stesso gianaz.

Hai provato a mettere il blocco di codice sopra per i jpg?

Per quanto riguarda la pagina 404 sempre tramite htaccess puoi creare una pagina 404 personalizzata, che può essere anche una semplice pagina php con header('Location:home.php');


ciao

[MicheleWT]

Originariamente inviato da gianiaz
ehm si...

Provo a spiegarti meglio, su un sistema linux ogni programma gira tramite un utente.

Ad ogni utente puoi assegnare un gruppo, e la trinità di terzine dei permessi si riferiscono all'utente, al gruppo e a tutti gli altri.

Quindi se tu ad un file che appartiene ad apache, al gruppo pippo

file apache pippo -rwxr-----

Vuol dire che apache potrà leggere scrivere ed eseguire il file, gli utenti che condividono con apache il gruppo potranno solo leggere, gli altri niente.

Questo però vale sul sistema, quindi per gli utenti che stanno sul sistema e vi accedono tramite login diretto, tramite ssh o telnet.

Per quanto riguarda gli utenti che accedono via web, faranno le loro richieste al web server, che sul sistema gira come utente "apache", e quindi richiederà al sistema i files presentandosi come apache, e il sistema restituirà i files che l'utente può leggere.

Vedi che a questo livello non c'è una distinzione tra utente web e utente della macchina stessa, perchè sono la stessa entità.

Tramite apache/htaccess invece puoi distinguere l'utente per ip di provenienza, e filtrare cosa servire e cosa non servire al richiedente.

ciao

ok grazie, uso linux quotidianamente ma questa differenza tra utenti loggati e utenti apache non la sapevo. ecco cosa non mi tornava.

[MicheleWT]

Originariamente inviato da gianiaz
Hai provato a mettere il blocco di codice sopra per i jpg?

Per quanto riguarda la pagina 404 sempre tramite htaccess puoi creare una pagina 404 personalizzata, che può essere anche una semplice pagina php con header('Location:home.php');


ciao

come posso mettere Options All -Indexes per le jpg?
sto anche smanellando con le pagine di errore, grazie.

[gianiaz]

Guarda che "indexes" serve solo per non mostrare l'elenco di files di una directory, ma non per vietare l'accesso al file.

ti ripeto la domanda, hai provato questo codice:

codice:

<Files *.jpg>
allow from 127.0.0.1
deny from all 
</Files>

[MicheleWT]

SI! ed era una delle cose che volevo fare
ho impostato i redirect per non perdere la visita in caso di url sbagliato, sintassi errata, accesso bloccato.

lascio solo gli errori del server come internal server error.

ora provo a infilare quello che dici tu, blocca anche gli hotlink in questo caso?

[gianiaz]

Teoricamente dovrebbe bloccare l'accesso diretto al file da ip che non siano 127.0.0.1

Ciò dovrebbe servire a vietare i link esterni, permettendo però di funzionare alla pagina web che ha un riferimento ad una immagine, perchè in quel caso il link avviene dalla macchina stessa (quindi 127.0.0.1).
Devo essere sincero ho un dubbio nel caso tu linki con url assoluti tipo : http://sito/img.jpg, in quel caso bisognerebbe capire se la richiesta esce dal router e rientra presentandosi con l'ip pubblico del web server, quello dipende anche dalla configurazione della rete locale in cui si trova il web server, ma al massimo cambi l'ip o li metti tutti e 2

ciao

[MicheleWT]

blocca le immagini!

ho un include con un header che contiene una [img]mia_immagine.jpg[/img]

ora non se vede più

[gianiaz]

con che ip hai provato? solo 127.0.0.1?

[MicheleWT]

si certo, quello che mi avevi indicato, localhost.

è una questione di configurazione del webserver. sto facendo dei test con 127.0.0.0 e mi pare funzioni, fa un redirect alla pagina di accesso negato che mi riporta alla homepage.

testo ancora, ma mi pare che ci siamo!!!!

questo basta estenderlo a tutte le estensioni di file che non voglio che dall'esterno recuperino!

ti faccio sapere tra un pò.


stay brutal