אז ככה
הבעיה התחילה מאז שהעברתי את האתר שלי מWINDOWS (APAHCE) ללינוקס FEDORA

אני משתמשת עם הפקודה FOPEN לקבל תוכן של אתר
נגיד GOOGLE
והוא נותן לי שגיאה ב error_log ה:

קוד PHP:

 [Fri Mar 02 16:21:35 2007] [error] [client 62.219.111.35] PHP Warning:  fopen(http://www.google.com) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: Permission denied in /var/www/html/functions/site.php on line 12, referer: http://localhost/site.php 


עכשיו ה allow_url_fopen הוא על ON
ולא יכול להיות שהאתר עצמו חסם, כי בWINDOWS זה עובד לי.

למישהו יש רעיון מה זה יכול להיות?

נראה לי מאוד הגיוני שאתה לא יכול לעבוד על קבצים שנמצאים בשרת מרוחק. אם הדבר היה אפשרי היית יכול למחוק אתרים שלמים ברגע.

כדי לקבל תוכן של אתר אפשר להשתמש בפונקציה file_ get_ contents

allow_url_fopen הוא לא הדבר היחיד שיכול להגביל פתיחת חיבורים בשרת...

השרת שלך או של מישהו אחר? אם של מישהו אחר, כדאי לשאול אותו...

בכל מקרה כדאי לצרף את שורת הקוד הרלוונטית...

נמאס לכם לזכור סיסמאות? לחצו כאן!

ולמה את רוצה בכלל לקבל אתר בתור משתנה ?

לשירותכם,
מסנג'ר muler@mulers.net

מולר, דבר איתי בעבודה על זה אני אסביר לך

בכל מקרה, השרת הוא שלי

וזה הקוד שאני מנסה לעשות, הכי פשוט בעולם

קוד PHP:

 $url = "http://www.google.com";
if ($stream = fopen($url, 'r')) 
{
   $string = stream_get_contents($stream, 100);
   fclose($stream);
} 


אוקיי, מעניין.

רעיון - אולי השרת מותקן עם SELinux (שזה Security Enhanced Linux) ?

תוכלי לדעת על ידי הרצת הפקודה dmesg בתור root אחרי שגיאה שכזו.

אם בסוף כל הקשקושים (נניח שזה קשקושים) תקבלי משהו שמתחיל כך (כמובן עם נתונים אחרים) :

קוד:

audit(1173192124.324:0): avc:  denied  { read } for  pid=20649 exe=

אז זה בהחלט זה.

דרך נוספת לדעת היא להריץ בתור root את הפקודה sestatus, אם יש פלט כזה:

קוד:

# sestatus
SELinux status:         enabled
SELinuxfs mount:        /selinux
Current mode:           enforcing
Policy version:         18
[...]

(דגש על ה-enforcing שכתוב שם) - כנ"ל זו הוכחה ש-SELinux פעיל.

אם זה זה, נסי את הפקודה הבאה:

קוד:

echo 0 > /selinux/enforce

זה יבטל באופן זמני את ההגנה המיוחדת של SELinux.

אם זה לא זה, נמשיך לחפש

נמאס לכם לזכור סיסמאות? לחצו כאן!

כן זה באמת מה שיש לי

קוד:

SELinux status:				 enabled
SELinuxfs mount:				/selinux
Current mode:				   enforcing
Mode from config file:		  enforcing
Policy version:				 20
Policy from config file:		targeted

אז עשיתי את זה
echo 0 > /selinux/enforce
וזה עבד תודה רבה!

רק איך עושים את זה קבוע? ואם זה קשור לSECURITY , כדאי לעשות את זה קבוע?

ובכן, יש כל מיני דרכים לקבע כזה דבר.

באופן כללי, אפשר להעביר אפשרות לקרנל בקונפיגורציה של ה bootloader (בד"כ זה יהיה boot/grub/grub.conf/) - וזה תלוי באיך ההפצה "טיפלה" בקרנל - אבל בד"כ זה יהיה selinux=0 בסוף השורה kernel וזה אמור לטפל בזה.

אפשרות אחרת היא להכניס את הפקודה המדוברת שמבטלת לקובץ etc/rc.local/ - אבל היא אפשרות פחות "נכונה", לא כי זה לא יעבוד, אלא כי לא כך עושים דברים (לטעמי האישי).

לבסוף, לשאלת האבטחה - תלוי - אם זה שרת פנימי ברשת מקומית, סביר להניח שלינוקס לא תהיה החוליה החלשה במערך האבטחה של החברה (לפחות בברירות המחדל, מי שמשנה דברים - אחריותו...). אם אל השרת נכנסים חיבורים מהאינטרנט, זה משהו אחר. אבטחה זה כן דבר מומלץ, וכמה שיותר, יותר טוב. אם רוצים להשאיר את זה, מה שצריך לעשות, זה לאפשר לפרוסס שמנסה לעשות מה שהוא מנסה לעשות והיום אסור לו, ואת שאר ההגנות להשאיר.

איך עושים את זה?

ממש בקצרה:

dmesg -c (כדי לנקות את לוג הקרנל שבזכרון)
echo 0 >/selinux/enforce (כדי לא לאכוף את האבטחה, ובכך נראה את כל הפעולות שהיו אמורות להחסם)

ביצוע הפעולה שחסומה בד"כ, כך שהחסימה תרשם ב dmesg

echo 1 > /selinux/enforce (כדי להחזיר את החסימה)

ואז הרצה של

audit2allow -d

מה שיחזיר את רשימת החוקים שיש לאפשר כדי לפעול במצב המאובטח כשהדברים המסויימים שלנו פתוחים. את הרשימה הזאת צריך להכניס לקובץ local.te שבהגדרות ה policy של selinux. אין לזה מקום אחיד בכל הפצה, ואני את פדורה לא מכיר, אז לצערי אני לא יכול לעזור לך בשלב הזה (גוגל...). לאחר ההוספה לקובץ local.te יש לבנות policy בינארי חדש על ידי מעבר לספרית ה Makefile והרצת הפקודה make reload

בהצלחה

נמאס לכם לזכור סיסמאות? לחצו כאן!