Apache segurança hospedagem perl base de backuppc gráfico faltando na web GUI, qual é a melhor solução?

1

Sistema: ubuntu fresco e atualizado Xenial Xerus 16.04.2. Começou de um sistema minimalista limpo, onde apenas o openssh foi instalado. Para instalar o backuppc 3.3.2, fiz o seguinte:

apt-get install backuppc rsync libfile-rsyncp-perl par2 smbfs

O Apt fez o resto, instalando dependências como apache2 e perl. Se você acha que pode ser importante, vou editar a questão e colar linhas relevantes dos logs do apt.

Depois disso, fiz todas as configurações necessárias para fazer o backup do primeiro host e, depois de alguns dias, voltei ao laboratório de teste para verificar como estava sendo feito. Eu tenho que dizer que o backuppc é um belo software e fez exatamente - ou até melhor que - o que eu esperava!

Eu notei que os gráficos do pool da tela inicial não eram exibidos; A solução de problemas me retornou apenas uma informação dos logs do Apache:

ERROR: opening '/var/lib/backuppc/log/pool.rrd': Permission denied

Definitivamente, um problema de permissões: / var / lib / backuppc é de propriedade de backuppc: backuppc, enquanto o apache é executado sob a conta www-data.

O Google para o erro retornou essa correção:

Resource | Actual perms | Solution's perms
/var/lib/backuppc | 2750 | 2751
/var/lib/backuppc/log | 750 | 751
/var/lib/backuppc/log/pool.rrd | 640 | 754

Estas alterações de permissões corrigiram o problema e agora os gráficos são exibidos. De qualquer forma, continuo preocupado com a segurança do serviço exposto depois que a permissão é alterada. Neste caso, estou planejando uma implementação em um ambiente seguro e isolado, mas e se o cliente pedir para expor o serviço, ou pior, se ele o expuser sozinho? Eu não quero deixar uma brecha de segurança em potencial onde eles irão para a recuperação se algo der errado no ambiente de produção.

Outra solução pode ser adicionar o usuário do backuppc ao grupo www-data, mas isso pode ser ainda pior do ponto de vista da segurança.

Outra solução pode ser corrigir o código executado pelo backuppc para lidar com esse problema (e, talvez, algumas linhas no arquivo sudoers), mas eu não tenho habilidades de programação, nem posso ler nada além de bash scripting.

Então minha pergunta é: Qual é a solução mais segura para obter a exibição de gráficos?

    
por Marco 09.06.2017 / 15:51

2 respostas

1

Se esse arquivo é o único causador de dores de cabeça, é melhor mover a pasta de log para um local onde o usuário www-data possa lê-lo e o usuário backuppc possa gravar nele. Em seguida, crie links simbólicos.

mv /var/lib/backuppc/log/ /var/log/backuppc/
chown backuppc:www-data /var/log/backuppc/
chmod 750 /var/log/backuppc/
ln -s /var/log/backuppc/ /var/lib/backuppc/log/

É melhor abrir seu / var / lib / backuppc / inteiramente para todos os usuários do sistema, especialmente se os subdiretórios e arquivos contidos nessa pasta dependerem da segurança da pasta principal sendo restrita ao backuppc: backuppc.

Em relação à adição de backuppc ao grupo www-data, não permitiria que o www-data acessasse o arquivo de propriedade do backuppc. Você quis dizer o contrário? Em qualquer caso, eu concordaria que seria uma má ideia, a menos que todos os dados sensíveis sejam legíveis apenas pelo usuário backuppc e não pelo grupo.

Por que o guia que você seguiu sugeriu alterar /var/lib/backuppc/log/pool.rrd de 640 - > 754 (executável pelo proprietário e grupo) e não 640 - > 644 me bate embora.

OBSERVAÇÃO: Faz alguns anos desde que usei o BackupPC, então não me lembro bem como as permissões estavam na pasta / var / lib / backuppc ou outras informações potencialmente confidenciais o diretório de logs contém.

Espero que isso ajude!

    
por 13.06.2017 / 09:58
-1

Restringir o acesso ao gráfico usando o .htaccess. você só pode permitir o acesso aos seus clientes usando o .htaccess.

    
por 10.06.2017 / 06:01