Hej,

Jag har sökt mig gråhårig på nätet efter ett fel jag får när jag försöker installera phpld. Jag har haft en fungerande installation innan men nu fungerar det inte.

Under installationen ombeds man sätta skrivrättigheter (777) på mappen temp/ och dess undermappar templates/ mfl. Det står inget om att man efter installationen ska sätta tillbaka dessa men det utgår jag ifrån att man borde göra.

Problemet uppstår på tex submit.php eller när jag loggar in på admin. Får då:

Fatal error: Smarty error: unable to write to $compile_dir

Ett problem som löses om jag sätter tillbaka rättigheterna till 777. Men man kan väl inte ha 777 på en mapp?? På min svenska installation (annan webserver) så fungerar det utmärkt när dessa mappar har "vanliga" rättigheter.

Googlar man på problemet får man svaret att man ska sätta 777 på mapparna...

Mina frågor:
1. Visst är det väl säkerhetsmässigt självmord att ha 777 på en mapp?
2. Finns det nån inställning på webbhotellet som kan frammana detta problem+
3. Har du haft samma problem och löst det? Hur isf?

"...säkerhetsmässigt självmord..."
att skriva så är att ta i. Man kan ha flera mappar som man måste få skriva i vilket i sin tur inte innebär sajtens självmord. Får "man" skriva kan man också ta bort i den mappen.
Om Phpld vill att du använder 777 på en viss mapp har den nog tänkt att skriva filer dit. Temp är en typiskt namn på en mapp som programvaran har tänkt skriva/spara filer för att sedan ta bort dessa.

Du bör känna dig helt lugn med att ändra rättigheterna på mappen till 777, den ska ju ändå användas som Temp-katalog och ingen viktig data skall lagras där.

777 rättigheter är en säkerhetsrisk, punkt slut.

Genom en sådan katalog kan man lägga upp filer och program som sedan kan äventyra hela servern (been there, done that), men tyvärr är det väldigt vanligt att skript behöver skrivrättigheter och därav kommer problem med servrar som hackas och utsätts för otäckheter.

Hur man säkrar en server för att undvika den typen av problem har lika många svar som lösningar, men om jag får rekommendera så försöker du hitta en webhost som kör med PHPSUEXEC eller liknande som dels ser till att inga filer eller mappar kan köras med 777 (mappar 755 och filer 644 max) och att filer och kataloger inte körs som nobody. Då får du en säkrare miljö och du behöver aldrig sätta filer eller kataloger så att du äventyrar din egen miljö eller andras.

Jag kör själv PHPLD i en sådan miljö med alla kataloger satta till 755 och filerna till 644 utan problem.

Hej,

Tack för era svar!

Jag glömde nämna att jag blivit hackad på den servern förut så säkerhetsaspekten är en stor fråga. Jag har dock inga viktiga sidor (inkl denna phpLD) kvar på servern så det är ingen katastrof om det skulle hända igen.

Det de gjorde förra gången var att lägga in en door.php som jag bara gissar var en dörr in till resten av sidan. Dvs, om man kan komma åt en mapp kan man med lite illvilja komma åt alla.

Intressant dock att höra att det verkar vara kutym att ha 777 på mapparna för phpLD i och med att detta är en säkerhetsrisk.

Mortekai: Tror inte Servage kör med det. Förmodligen kör Proinet med det för där fungerar det med 644.

Försöker återigen få lite klarhet i det här då jag måste ha dessa sidor på mitt vanliga webbhotell.

Är det eller är det inte en säkerhetsrisk att ha 777 på en mapp? Jag skiter i mappen i sig, men kan man använda sig av det för att lägga upp elaka script som pajar resten av mina sidor?

Jag har en katalog med 777, men för att skydda den har jag lagt in en index.html fil, som är tom på 0 byte alltså.

Det ger inget fullgott skydd. Det förhindrar bara indexing. Andra på servern kan skriva där om dem vill och diverse skript kan också använda den.

Man brukar lägga in .htaccess-filer i dessa mappar, så att de låses ner. Färdiga web-appar som man installerar brukar vara duktiga att bifoga sådana filer.

Säkerhetsproblemet uppstår på ett tidigare stadium, nämligen då en besökare kan ladda upp filer till temp-mappen.

Säkerhetsproblemet består snarare i brister i mjukvaran. Bara för att en katalog har a+w betyder det inte att webservern eller ett script skall tillåta filuppladdningar till den katalogen hur som helst.

Du kan lungt installera phpld, clirre, men se till att du är noga med att installera de senaste uppdateringarna, samt att du har vettiga lösenord.

Det bör vara lugnt, normalt sett ska webbhotellet stå för säkerheten på den sidan så länge du inte ger besökaren några enkla vägar in på andra sätt.

Du kan antingen ha 777 på den (sista sjuan står för read,write, execute för "alla" användare på servern). Du kan även med gott samvete sätta 755 exempelvis om du ser till att mappen är ägd av samma användare som webbservern körs med. Skillnaden är antagligen rätt marginellt rent säkerhetsmässigt eftersom om du har ett dåligt script där en eventuell cracker kan specificera att läsa en fil eller skriva en fil så kommer det exekveras oavsett.
Den stora nackdelen med 777 är i princip att andra användare på servern skulle kunna skriva och läsa filer i mappen, men som andra har påpekat rör det sig bara om temporär data vilket gör att du knappast behöver vara orolig.

Templates_c-mappen i smarty är de kompilerade templatsen, det är mao bara samma material som visas för användaren. Ett eventuellt dåligt scenario är om någon annan användare på din server på något sätt lyckas lista ut hur de skall skriva till en fil där som sedan levereras till dina besökare istället för det riktiga materialet. Dock tror jag att oddsen för det är låga eftersom filerna i den mappen har hashar som antagligen är unika (det blir mao en väldigt stor värderymd att fylla med data om man skall göra så).