Я давний пользователь Linux для настольных компьютеров, но я новичок в области серверов и безопасности. Теперь я хочу настроить Raspi (работающий на Raspbian), который будет выполнять роль сервера печати CUPS, файлового сервера NFS и хранилища резервных копий, сервера Owncloud и, возможно, даже небольшого веб- или почтового сервера в долгосрочной перспективе.

Поскольку у меня нет опыта работы с серверами, я немного не уверен, стоит ли создавать частные резервные копии на той же машине, которая доступна из Интернета, например, для использования Owncloud. Есть ли что-то, что можно или нужно сделать, чтобы защитить эти данные?

В настоящее время я в самом начале, просто настроить Raspbian, CUPS и настроить принтер в локальной сети. Все через стандартного пользователя "пи" предварительно настроено на Raspbian. Как мне действовать при настройке NFS и Owncloud?

Спасибо за любую помощь, Фотон.

2 ответа2

1

Как мне действовать при настройке NFS и Owncloud?

Owncloud - это PHP-приложение, которое требует MySQL и Apache. Таким образом, благодаря тому, что Owncloud установлен и работает, вы уже будете запускать веб-сервер Apache.

Apache может быть настроен для работы от одного локального пользователя, обычно это www-data . Каждый файл Apache (и, следовательно, любой пользователь, который подключается к вашему веб-серверу извне), который может коснуться и потенциально обслуживающий, должен быть доступен пользователю www-data или группе www-data .

PHP - это модуль, который вызывается Apache, когда пользователь запускает скрипт PHP. PHP будет работать от имени того же пользователя, что и Apache. Тем не менее, PHP может попытаться получить доступ к любому файлу в вашей системе. Это не будет успешным, если разрешения блокируют его - т.е. если файл не доступен пользователю или группе www-data (при условии значений по умолчанию).

Приложение PHP, если оно написано плохо, может быть уязвимо для эксплойтов, которые позволяют пользователям просматривать любой файл, к которому имеет доступ PHP. Пример того, что хакер может попытаться сделать, - это отправить искаженный запрос в скрипт PHP и заставить его вернуть /etc/passwd или, возможно, содержимое других общедоступных файлов конфигурации в /etc Теперь это не очень вредно для вашей системы в данный момент, но может дать злоумышленнику информацию о действительных учетных записях, что может помочь им, если они попытаются каким-то образом взломать локальную учетную запись.

OwnCloud существует уже довольно давно, поэтому он относительно зрелый и протестирован в полевых условиях, но от этого следует отказаться: следите за обновлениями.

Сам Apache может ограничить обслуживание файлов файлами .htaccess , но Apache применяет это не в Linux, а в принудительном порядке. Файлы .htaccess не контролируют то, на что может смотреть PHP-скрипт, а только то, какие файлы могут обслуживаться через прямые HTTP-запросы из браузера.

Так:

  • Следите за обновлениями ОС.

  • На самом деле вы должны запустить Owncloud в отдельной физической (или виртуальной) системе (еще один пи). Тем не менее, если вы просто экспериментируете или тестируете, или внимательно относитесь к тому, с кем вы делитесь своим Owncloud IP, это должно быть относительно нормально.

  • Следите за журналами вашего веб-сервера (/var/log/apache2 в Debian). Вы можете посмотреть на goaccess который может дать вам несколько простых для понимания отчетов.

  • Данные, которые вы храните в Owncloud и в этой системе в целом, должны регулярно создаваться резервные копии, а копии храниться в этой системе.

  • Файлы, которые вы никоим образом не хотите видеть Owncloud или веб-серверу, должны иметь разрешения, запрещающие доступ к группе www-data и пользователям.

0

Я настроил Owncloud в "тюрьме", используя это руководство: http://tech-blog.clericare.com/2013/08/how-to-deploy-owncloud-with-postgresql.html

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .