تنظیم دسترسی یک برنامه به یک فایل

[PunkGeek]

سلام دوستان
من میخوام یک فایل رو طوری تنظیم کنم که فقط بتونه برنامه php اون رو بخونه و حتی روت هم این دسترسی رو نداشته باشه که بخواد بخونه
یه توضیح میدید لطفا؟

[B]

مثل اینکه دوستان توی این انجمن میگفتند با دستور chattr میشه کاری کرد که روت هم نتونه بخونه (یا من بد متوجه شدم)

ولی تا اونجا که من میدونم روت باید بتونه همه چیز روبخونه؛ و نمیشه کاریش کرد (مگر اینکه اون جمله‌ی بالا صحت داشته باشه)



در مورد اینکه php فقط بتونه فایل رو بخونه ؛ خب باید صاحب اون فایل رو همون کاربری کنی که php تحت اون کاربر داره اجرا میشه!!

[PunkGeek]

مثل اینکه دوستان توی این انجمن میگفتند با دستور chattr میشه کاری کرد که روت هم نتونه بخونه (یا من بد متوجه شدم)

ولی تا اونجا که من میدونم روت باید بتونه همه چیز روبخونه؛ و نمیشه کاریش کرد (مگر اینکه اون جمله‌ی بالا صحت داشته باشه)



در مورد اینکه php فقط بتونه فایل رو بخونه ؛ خب باید صاحب اون فایل رو همون کاربری کنی که php تحت اون کاربر داره اجرا میشه!!

آره جملهی بالا صحت داره ولی خوب این کاربر php رو نمیدونم چجوری باید تشخیص بدم!!

[Matrix.1372]

root یا ریشه یعنی همه چیز! در حالت عادی با دستور chattr نیز نمی‌توانید کاملا جلوی ریشه رو بگیرید، چون کاربر ریشه می‌تونه مجددا با دستور chattr دسترسی فایل مورد نظر رو به‌دست بیاره (یا بهتر بگیم با دستور chattr کنترل یک فایل از کاربر ریشه سلب نمی‌شه)!

[PunkGeek]

root یا ریشه یعنی همه چیز! در حالت عادی با دستور chattr نیز نمی‌توانید کاملا جلوی ریشه رو بگیرید، چون کاربر ریشه می‌تونه مجددا با دستور chattr دسترسی فایل مورد نظر رو به‌دست بیاره (یا بهتر بگیم با دستور chattr کنترل یک فایل از کاربر ریشه سلب نمی‌شه)!

خوب پس من چجوری میتونم از سورسم محافظت کنم؟!! چون سورس مربوط به php میشه نه لینوکس که بخواد متن باز باشه

[MHA152]

root یا ریشه یعنی همه چیز! در حالت عادی با دستور chattr نیز نمی‌توانید کاملا جلوی ریشه رو بگیرید، چون کاربر ریشه می‌تونه مجددا با دستور chattr دسترسی فایل مورد نظر رو به‌دست بیاره (یا بهتر بگیم با دستور chattr کنترل یک فایل از کاربر ریشه سلب نمی‌شه)!

خوب پس من چجوری میتونم از سورسم محافظت کنم؟!! چون سورس مربوط به php میشه نه لینوکس که بخواد متن باز باشه

منظورتون چیه؟سورس شما در اختیار خودتون است و تا خودتون نخواهید کسی باش کاری نداره

[PunkGeek]

root یا ریشه یعنی همه چیز! در حالت عادی با دستور chattr نیز نمی‌توانید کاملا جلوی ریشه رو بگیرید، چون کاربر ریشه می‌تونه مجددا با دستور chattr دسترسی فایل مورد نظر رو به‌دست بیاره (یا بهتر بگیم با دستور chattr کنترل یک فایل از کاربر ریشه سلب نمی‌شه)!

خوب پس من چجوری میتونم از سورسم محافظت کنم؟!! چون سورس مربوط به php میشه نه لینوکس که بخواد متن باز باشه

منظورتون چیه؟سورس شما در اختیار خودتون است و تا خودتون نخواهید کسی باش کاری نداره

نه دسترسی فیزیکی دارند همه به سیستم و ممکنه یوزر روت هم در بیارند برای همین میخوام چنین دسترسی به سورسم بدم که با یوزر روت هم نتوان به آن دست یافت

[MHA152]

root یا ریشه یعنی همه چیز! در حالت عادی با دستور chattr نیز نمی‌توانید کاملا جلوی ریشه رو بگیرید، چون کاربر ریشه می‌تونه مجددا با دستور chattr دسترسی فایل مورد نظر رو به‌دست بیاره (یا بهتر بگیم با دستور chattr کنترل یک فایل از کاربر ریشه سلب نمی‌شه)!

خوب پس من چجوری میتونم از سورسم محافظت کنم؟!! چون سورس مربوط به php میشه نه لینوکس که بخواد متن باز باشه

منظورتون چیه؟سورس شما در اختیار خودتون است و تا خودتون نخواهید کسی باش کاری نداره

نه دسترسی فیزیکی دارند همه به سیستم و ممکنه یوزر روت هم در بیارند برای همین میخوام چنین دسترسی به سورسم بدم که با یوزر روت هم نتوان به آن دست یافت

بهتر نیست بجای اینکه امنیت یک فایل را بالا ببرید امنیت کل را بالا ببرید و پسوردی برای روت انتخاب کنید که دیگران نتوانند متوجه بشوند

[PunkGeek]

root یا ریشه یعنی همه چیز! در حالت عادی با دستور chattr نیز نمی‌توانید کاملا جلوی ریشه رو بگیرید، چون کاربر ریشه می‌تونه مجددا با دستور chattr دسترسی فایل مورد نظر رو به‌دست بیاره (یا بهتر بگیم با دستور chattr کنترل یک فایل از کاربر ریشه سلب نمی‌شه)!

خوب پس من چجوری میتونم از سورسم محافظت کنم؟!! چون سورس مربوط به php میشه نه لینوکس که بخواد متن باز باشه

منظورتون چیه؟سورس شما در اختیار خودتون است و تا خودتون نخواهید کسی باش کاری نداره

نه دسترسی فیزیکی دارند همه به سیستم و ممکنه یوزر روت هم در بیارند برای همین میخوام چنین دسترسی به سورسم بدم که با یوزر روت هم نتوان به آن دست یافت

بهتر نیست بجای اینکه امنیت یک فایل را بالا ببرید امنیت کل را بالا ببرید و پسوردی برای روت انتخاب کنید که دیگران نتوانند متوجه بشوند

این کار هارو کردم خوستم بیشتر محکم کاری کنم

[אוּרִיאֵל]

root یا ریشه یعنی همه چیز! در حالت عادی با دستور chattr نیز نمی‌توانید کاملا جلوی ریشه رو بگیرید، چون کاربر ریشه می‌تونه مجددا با دستور chattr دسترسی فایل مورد نظر رو به‌دست بیاره (یا بهتر بگیم با دستور chattr کنترل یک فایل از کاربر ریشه سلب نمی‌شه)!

خوب پس من چجوری میتونم از سورسم محافظت کنم؟!! چون سورس مربوط به php میشه نه لینوکس که بخواد متن باز باشه

منظورتون چیه؟سورس شما در اختیار خودتون است و تا خودتون نخواهید کسی باش کاری نداره

نه دسترسی فیزیکی دارند همه به سیستم و ممکنه یوزر روت هم در بیارند برای همین میخوام چنین دسترسی به سورسم بدم که با یوزر روت هم نتوان به آن دست یافت

دوست عززيز دسترسى فيزيكى يعنى اين كه شما هيچ كارى نميتونيد بكنيد و راهى واسه امن كردنش نداريد نهايتش اينه كه رمزگذارى كنيد و گر نه طرف بخواد خيلى راحت پسوردتو به دست مياره .

http://www.openbsd.org/faq/faq8.html#LostPW

"Wait. That looked too easy! That isn't very secure!" If an attacker has physical access to your system, they win, regardless of the OS on the computer. There are ways to force the use of a password on single-user mode (see ttys(5)), or eliminate the pause on i386/amd64 (see boot.conf), but practically speaking, getting around those tricks is also pretty easy (One way: boot floppy or CDROM, edit or replace password file). You can try to prevent that, but then someone will pull the hard disk out of your computer. Making your computer difficult to manage properly isn't real security, and if you don't have the physical machine secured, you have no real security.

Note: many "remote management" systems give most of the functionality of physical access to the computer, and that needs to be considered. Don't tell yourself the system is secure if there is a way for an attacker to grab console, insert a virtual floppy and force a reboot of the machine. They might as well have physical access to the system. The console management system is likely not as secure as OpenBSD...

[PunkGeek]

root یا ریشه یعنی همه چیز! در حالت عادی با دستور chattr نیز نمی‌توانید کاملا جلوی ریشه رو بگیرید، چون کاربر ریشه می‌تونه مجددا با دستور chattr دسترسی فایل مورد نظر رو به‌دست بیاره (یا بهتر بگیم با دستور chattr کنترل یک فایل از کاربر ریشه سلب نمی‌شه)!

خوب پس من چجوری میتونم از سورسم محافظت کنم؟!! چون سورس مربوط به php میشه نه لینوکس که بخواد متن باز باشه

منظورتون چیه؟سورس شما در اختیار خودتون است و تا خودتون نخواهید کسی باش کاری نداره

نه دسترسی فیزیکی دارند همه به سیستم و ممکنه یوزر روت هم در بیارند برای همین میخوام چنین دسترسی به سورسم بدم که با یوزر روت هم نتوان به آن دست یافت

دوست عززيز دسترسى فيزيكى يعنى اين كه شما هيچ كارى نميتونيد بكنيد و راهى واسه امن كردنش نداريد نهايتش اينه كه رمزگذارى كنيد و گر نه طرف بخواد خيلى راحت پسوردتو به دست مياره .

http://www.openbsd.org/faq/faq8.html#LostPW

"Wait. That looked too easy! That isn't very secure!" If an attacker has physical access to your system, they win, regardless of the OS on the computer. There are ways to force the use of a password on single-user mode (see ttys(5)), or eliminate the pause on i386/amd64 (see boot.conf), but practically speaking, getting around those tricks is also pretty easy (One way: boot floppy or CDROM, edit or replace password file). You can try to prevent that, but then someone will pull the hard disk out of your computer. Making your computer difficult to manage properly isn't real security, and if you don't have the physical machine secured, you have no real security.

Note: many "remote management" systems give most of the functionality of physical access to the computer, and that needs to be considered. Don't tell yourself the system is secure if there is a way for an attacker to grab console, insert a virtual floppy and force a reboot of the machine. They might as well have physical access to the system. The console management system is likely not as secure as OpenBSD...

منظورتون از رمز گذاری چه چیزی هست؟
این کار ها انجام شده:
http://forum.ubuntu.ir/index.php/topic,74577.msg622568.html#new
کافیه برای دسترسی فیزیکی؟

[אוּרִיאֵל]

root یا ریشه یعنی همه چیز! در حالت عادی با دستور chattr نیز نمی‌توانید کاملا جلوی ریشه رو بگیرید، چون کاربر ریشه می‌تونه مجددا با دستور chattr دسترسی فایل مورد نظر رو به‌دست بیاره (یا بهتر بگیم با دستور chattr کنترل یک فایل از کاربر ریشه سلب نمی‌شه)!

خوب پس من چجوری میتونم از سورسم محافظت کنم؟!! چون سورس مربوط به php میشه نه لینوکس که بخواد متن باز باشه

منظورتون چیه؟سورس شما در اختیار خودتون است و تا خودتون نخواهید کسی باش کاری نداره

نه دسترسی فیزیکی دارند همه به سیستم و ممکنه یوزر روت هم در بیارند برای همین میخوام چنین دسترسی به سورسم بدم که با یوزر روت هم نتوان به آن دست یافت

دوست عززيز دسترسى فيزيكى يعنى اين كه شما هيچ كارى نميتونيد بكنيد و راهى واسه امن كردنش نداريد نهايتش اينه كه رمزگذارى كنيد و گر نه طرف بخواد خيلى راحت پسوردتو به دست مياره .

http://www.openbsd.org/faq/faq8.html#LostPW

"Wait. That looked too easy! That isn't very secure!" If an attacker has physical access to your system, they win, regardless of the OS on the computer. There are ways to force the use of a password on single-user mode (see ttys(5)), or eliminate the pause on i386/amd64 (see boot.conf), but practically speaking, getting around those tricks is also pretty easy (One way: boot floppy or CDROM, edit or replace password file). You can try to prevent that, but then someone will pull the hard disk out of your computer. Making your computer difficult to manage properly isn't real security, and if you don't have the physical machine secured, you have no real security.

Note: many "remote management" systems give most of the functionality of physical access to the computer, and that needs to be considered. Don't tell yourself the system is secure if there is a way for an attacker to grab console, insert a virtual floppy and force a reboot of the machine. They might as well have physical access to the system. The console management system is likely not as secure as OpenBSD...

منظورتون از رمز گذاری چه چیزی هست؟
این کار ها انجام شده:
http://forum.ubuntu.ir/index.php/topic,74577.msg622568.html#new
کافیه برای دسترسی فیزیکی؟

خودم در اطلاعم چون اگه يادتون باشه قضيه سينگل مود رو هم خودم تغييرش دادم ولى اينا به هيچ عنوان كافى نيست .
حتى رمز گذارى اطلاعات هم كافى نيست بعضى وقتا . بر اساس حرف خودشون هيچ راهى نداريد تقريباً . اما من توصيه ميكنم رمز گذارى هم انجام بديد . و بعدش هم نگران نباشيد چون الآن سرساى چيز مثل مك هم هست تو نت .

[PunkGeek]

root یا ریشه یعنی همه چیز! در حالت عادی با دستور chattr نیز نمی‌توانید کاملا جلوی ریشه رو بگیرید، چون کاربر ریشه می‌تونه مجددا با دستور chattr دسترسی فایل مورد نظر رو به‌دست بیاره (یا بهتر بگیم با دستور chattr کنترل یک فایل از کاربر ریشه سلب نمی‌شه)!

خوب پس من چجوری میتونم از سورسم محافظت کنم؟!! چون سورس مربوط به php میشه نه لینوکس که بخواد متن باز باشه

منظورتون چیه؟سورس شما در اختیار خودتون است و تا خودتون نخواهید کسی باش کاری نداره

نه دسترسی فیزیکی دارند همه به سیستم و ممکنه یوزر روت هم در بیارند برای همین میخوام چنین دسترسی به سورسم بدم که با یوزر روت هم نتوان به آن دست یافت

دوست عززيز دسترسى فيزيكى يعنى اين كه شما هيچ كارى نميتونيد بكنيد و راهى واسه امن كردنش نداريد نهايتش اينه كه رمزگذارى كنيد و گر نه طرف بخواد خيلى راحت پسوردتو به دست مياره .

http://www.openbsd.org/faq/faq8.html#LostPW

"Wait. That looked too easy! That isn't very secure!" If an attacker has physical access to your system, they win, regardless of the OS on the computer. There are ways to force the use of a password on single-user mode (see ttys(5)), or eliminate the pause on i386/amd64 (see boot.conf), but practically speaking, getting around those tricks is also pretty easy (One way: boot floppy or CDROM, edit or replace password file). You can try to prevent that, but then someone will pull the hard disk out of your computer. Making your computer difficult to manage properly isn't real security, and if you don't have the physical machine secured, you have no real security.

Note: many "remote management" systems give most of the functionality of physical access to the computer, and that needs to be considered. Don't tell yourself the system is secure if there is a way for an attacker to grab console, insert a virtual floppy and force a reboot of the machine. They might as well have physical access to the system. The console management system is likely not as secure as OpenBSD...

منظورتون از رمز گذاری چه چیزی هست؟
این کار ها انجام شده:
http://forum.ubuntu.ir/index.php/topic,74577.msg622568.html#new
کافیه برای دسترسی فیزیکی؟

خودم در اطلاعم چون اگه يادتون باشه قضيه سينگل مود رو هم خودم تغييرش دادم ولى اينا به هيچ عنوان كافى نيست .
حتى رمز گذارى اطلاعات هم كافى نيست بعضى وقتا . بر اساس حرف خودشون هيچ راهى نداريد تقريباً . اما من توصيه ميكنم رمز گذارى هم انجام بديد . و بعدش هم نگران نباشيد چون الآن سرساى چيز مثل مك هم هست تو نت .

بله درسته شما برامون کانفیگ رو انجام دادید اما ظاهرا در این مورد ما به مشکل بر خوردیم
بخوام مثلا پوشهی www رو رمز بزارم در کار آپاچی و غیره اختلال نمیزاره؟

[MHA152]

گفتید از چی استفاده می کنید؟
اوبونتو بصورت پیشفرض کاربر روت نداره پس می تونید برای دیگران کاربران دیگری بسازید و دسترسی sudo را ازشون بگیرید

[אוּרִיאֵל]

root یا ریشه یعنی همه چیز! در حالت عادی با دستور chattr نیز نمی‌توانید کاملا جلوی ریشه رو بگیرید، چون کاربر ریشه می‌تونه مجددا با دستور chattr دسترسی فایل مورد نظر رو به‌دست بیاره (یا بهتر بگیم با دستور chattr کنترل یک فایل از کاربر ریشه سلب نمی‌شه)!

خوب پس من چجوری میتونم از سورسم محافظت کنم؟!! چون سورس مربوط به php میشه نه لینوکس که بخواد متن باز باشه

منظورتون چیه؟سورس شما در اختیار خودتون است و تا خودتون نخواهید کسی باش کاری نداره

نه دسترسی فیزیکی دارند همه به سیستم و ممکنه یوزر روت هم در بیارند برای همین میخوام چنین دسترسی به سورسم بدم که با یوزر روت هم نتوان به آن دست یافت

دوست عززيز دسترسى فيزيكى يعنى اين كه شما هيچ كارى نميتونيد بكنيد و راهى واسه امن كردنش نداريد نهايتش اينه كه رمزگذارى كنيد و گر نه طرف بخواد خيلى راحت پسوردتو به دست مياره .

http://www.openbsd.org/faq/faq8.html#LostPW

"Wait. That looked too easy! That isn't very secure!" If an attacker has physical access to your system, they win, regardless of the OS on the computer. There are ways to force the use of a password on single-user mode (see ttys(5)), or eliminate the pause on i386/amd64 (see boot.conf), but practically speaking, getting around those tricks is also pretty easy (One way: boot floppy or CDROM, edit or replace password file). You can try to prevent that, but then someone will pull the hard disk out of your computer. Making your computer difficult to manage properly isn't real security, and if you don't have the physical machine secured, you have no real security.

Note: many "remote management" systems give most of the functionality of physical access to the computer, and that needs to be considered. Don't tell yourself the system is secure if there is a way for an attacker to grab console, insert a virtual floppy and force a reboot of the machine. They might as well have physical access to the system. The console management system is likely not as secure as OpenBSD...

منظورتون از رمز گذاری چه چیزی هست؟
این کار ها انجام شده:
http://forum.ubuntu.ir/index.php/topic,74577.msg622568.html#new
کافیه برای دسترسی فیزیکی؟

خودم در اطلاعم چون اگه يادتون باشه قضيه سينگل مود رو هم خودم تغييرش دادم ولى اينا به هيچ عنوان كافى نيست .
حتى رمز گذارى اطلاعات هم كافى نيست بعضى وقتا . بر اساس حرف خودشون هيچ راهى نداريد تقريباً . اما من توصيه ميكنم رمز گذارى هم انجام بديد . و بعدش هم نگران نباشيد چون الآن سرساى چيز مثل مك هم هست تو نت .

بله درسته شما برامون کانفیگ رو انجام دادید اما ظاهرا در این مورد ما به مشکل بر خوردیم
بخوام مثلا پوشهی www رو رمز بزارم در کار آپاچی و غیره اختلال نمیزاره؟

اگه يه فايل سيستم امن داشته باشيد واسه كل اطلاعات قطعاً مشكلى پيش نمياد . البته فكر كنم FFS خودش رمزگذارى ميكنه ميتونيد با يه سيستم لايو امتحان كنيد .
كارى كه من انجام دادم non-Secure تأئين كردن همه ى كنسولا بود و تا اونجايى هم كه من ميدونم تنها راه صحيحش همينه . موقعه مشكل هم خودم بودم .

@ محمّد حسين : :|||||||||||||||