Usuários e permissões em um Raspi que é tanto um servidor doméstico quanto um servidor owncloud

Navegue suas respostas
0

Sou um usuário de desktop Linux há muito tempo, mas um novato total em servidores e segurança. Agora eu quero configurar um Raspi (executando Raspbian) para atuar como um servidor de impressão CUPS, um servidor de arquivos NFS e armazenamento de backup, um servidor Owncloud e talvez até mesmo um pequeno servidor web ou de e-mail a longo prazo.

Como não tenho experiência com servidores, não tenho certeza se é uma boa idéia ter dados de backup privados na mesma máquina que podem ser acessados pela Internet por exemplo. Uso Owncloud. Existe algo que pode ou precisa ser feito para proteger esses dados?

Atualmente estou no começo, basta configurar o Raspbian, o CUPS e configurar a impressora na rede local. Tudo através do usuário padrão "pi" pré-configurado em Raspbian. Como devo proceder ao configurar o NFS e o Owncloud?

Obrigado por qualquer ajuda, Photon.

    
por Photon 25.02.2015 / 16:00

2 respostas

1

How should I proceed when configuring NFS and Owncloud?

Owncloud é uma aplicação PHP que requer MySQL e Apache. Portanto, em virtude de ter o Owncloud instalado e em execução, você já estará executando o servidor da Web Apache.

O Apache pode ser configurado para ser executado como um único usuário local, normalmente www-data . Cada arquivo que o Apache (e, portanto, qualquer usuário que atinge seu servidor da Web do lado de fora) pode tocar e possivelmente veicular deve estar acessível pelo grupo www-data ou www-data .

PHP é um módulo que é chamado pelo Apache quando um usuário acessa um script PHP. O PHP será executado como o mesmo usuário que o Apache está executando. No entanto, o PHP pode tentar acessar qualquer arquivo no seu sistema. Ele não será bem-sucedido se as permissões o bloquearem, isto é, a menos que o arquivo seja acessível pelo usuário ou grupo www-data (assumindo os padrões).

Um aplicativo PHP, se não estiver bem escrito, pode estar vulnerável a explorações que permitem aos usuários procurar qualquer arquivo que o PHP possa acessar. Um exemplo de algo que um hacker pode tentar fazer é enviar uma consulta malformada para um script PHP e fazer com que ela retorne /etc/passwd ou possivelmente o conteúdo de outros arquivos de configuração legíveis em /etc . Agora, isso não é muito prejudicial para o seu sistema naquele momento, mas pode fornecer informações a um invasor sobre contas válidas, o que poderia ajudá-las se estivessem tentando decifrar uma conta local de alguma forma.

O OwnCloud já existe há algum tempo, por isso é relativamente maduro e testado no campo, mas um ponto a ser tirado disso: acompanhar as atualizações.

O próprio Apache pode restringir a exibição de arquivos com .htaccess arquivos, mas isso é algo que o Apache impõe, não o Linux. .htaccess arquivos não controlam o que um script PHP pode ver, apenas quais arquivos podem ser atendidos por meio de solicitações HTTP diretas de um navegador.

Então:

  • Acompanhe as atualizações do sistema operacional.

  • Realmente você deve executar o Owncloud em um sistema físico (ou virtual) separado (outro pi). No entanto, se você está apenas experimentando ou testando, ou tendo cuidado com quem você compartilha seu IP do Owncloud, deve ser relativamente OK.

  • Fique de olho nos registros do seu servidor da Web ( /var/log/apache2 no Debian). Você pode pesquisar em goaccess que pode fornecer relatórios fáceis de entender.

  • Os dados que você armazena com o Owncloud, e neste sistema como um todo, devem ser armazenados em backup regularmente e uma cópia mantida fora desse sistema.

  • Os arquivos que você não quer que sejam vistos pelo Owncloud ou pelo servidor da Web devem ter permissões que neguem acesso ao grupo www-data e aos usuários.

por 05.04.2015 / 19:48
0

Eu configurei Owncloud em uma "prisão" usando este howto: link

    
por 05.04.2015 / 18:53

Tags

Como obter o formato Excel alinhado à esquerda para números? Por que não consigo conectar um ponto de acesso a esta rede?