[nl-nl] rss_admin_db_manager en beveiliging: uitleg?

els · 2008-11-21 19:05:59

Ik vraag het even hier want ik vind het lastige materie en al dat op en neer vertalen werkt hooguit onduidelijkheid in de hand.

Ik ga een aantal sites verhuizen van een (goedkope amerikaanse) host naar een nederlandse, vanwege de belabberde uptime. Nu gebruik ik graag rss_admin_db_manager, en uit dit bericht van Joop begreep ik dat al of niet extern kunnen benaderen van de db hiervoor van belang is. Nagevraagd bij de host en dat kon inderdaad, dus het (reseller) account aangeschaft. Maar de plugin werkt dus mooi niet. Nagevraagd bij de helpdesk en sta ik mooi voor gek ;) kennelijk heb ik e.e.a. helemaal verkeerd begrepen. Dit is het antwoord:

Ik vrees dat je 2 totaal verschillende dingen door elkaar haalt.
Externe toegang wil zeggen dat je op je pc een odbc connectie naar de database op de server kan maken.
Hetgeen jij over spreekt is rechtstreeks systeemprogramma’s op de serveraanspreken in de systeemmappen. Dat is uiteraard altijd verboden. Als je op je vorige host in /usr/bin kon dan wil dat zeggen dat die een erg lakse beveiliging had. Elke website heeft toegang tot de map waar die website instaat, nergens anders en zeker geen systeemmappen. Als jij toegang hebt tot systeemmappen wil dat zeggen dat andere resellers op die server dat ook zouden hebben. Wat ook wil zeggen dat jij hun websites kan zien en zij kunnen jouw websites zien. ik denk niet dat je dat leuk zou vinden.
Het is trouwens niet nodig zelf backups te maken, wij maken elke dag een backup van de server en houden die minstens 14 dagen bij.

Ik moet bekennen dat ik het niet helemaal kan volgen… dus als iemand het me uit kan leggen zou ik dat erg waarderen!
Betekent dit dat al die hostingbedrijven waar de plugin wel werkt allemaal zo onveilig bezig zijn? Betekent het dat ik in theorie, als ik username en password zou kennen voor de database van iemand anders op dezelfde server, die database zou kunnen backuppen, of erger, overschrijven met een andere? In dat geval kan ik me de paranoia wel voorstellen ;)

En nog een vraagje over safe mode: bij de vorige host werkte alles met de /files en /images directories op 755. Hier moet ik ze op 777 zetten. Ik heb altijd begrepen dat dát nu juist niet zo veilig is. Maar volgens de helpdesk:

Je kan die op 777 zetten als je wil. Als het op de vorige host werkte met 755 wil dat zeggen dat safe mode uit stond. Je kan zelf beheren via plesk, maar op eigen risico. Als safe mode uitstaat en er een verouderde (onveilige) versie van een script op een site staat waar al lang een update voor bestaat die net die security issues adresseert, en door deze combinatie word een site gehacked nemen wij daar geen enkele verantwoordelijkheid voor.

Dus in dit geval is 777 veilig? Of kan ik beter safe mode uitzetten en 755 gebruiken omdat Txp zelf niet onveilig is?

ruud · 2008-11-21 19:35:03

Er zijn een aantal manieren waarop je toegang kunt krijgen tot een database:

via een unix socket of locale poort. Dit is zoals het bij de meeste webhosts gaat bij het gebruik van PHP scripts zoals TXP.
via een externe poort. Dan is de database vanuit een andere plek (thuis, of andere server) te benaderen met een client-applicatie. Is niet echt gebruikelijk en zelden nodig.
via de programmas ‘mysql’ of ‘mysqldump’, wat vooral gebruikt wordt als je shell toegang (SSH) hebt tot de server. Dan kun je vanaf de commandline (vergelijkbaar met DOS) de database beheren. Dit zijn de commando’s die de rss_admin_db_manager plugin aanroept voor o.a. het maken van backups.
rechtstreeks toegang tot de files die samen de database vormen (zelden beschikbaar, en ook niet echt verstandig om er gebruik van te maken, tenzij je precies weet wat je doet).

Toegang hebben tot systeemmappen en de programma’s daarin betekent echt niet perse dat dan ook alle bestanden van alle websites toegankelijk zijn voor alle gebruikers. Dat hangt er puur vanaf hoe je de server inricht. Tsja, als je gebruikersnaam en wachtwoord voor een andere database op een server hebt, dan is de kans vrij groot dat je daar toegang toe krijgt. Niet zo vreemd ook. Daarom moet je die gebruikersnaam en wachtwoord niet rond laten slingeren ;)

Het is natuurlijk fijn dat zij backups maken, maar dat je zelf als gebruiker een backup wil maken, daar is niets mis mee.

Dat “755 / safe mode” verhaal neem ik met een korreltje zout. Het verband tussen 755 en safe mode bestaat niet zoals men dat suggereert (althans niet altijd en overal). Overigens: safemode bestaat niet eens meer in PHP6, dus als de veiligheid daar op berust dan wordt het sowieso tijd om daar naar te kijken. Ik begrijp uit het verhaal dat deze webhost de toegang van klanten zeer strak beperkt tot enkel de eigen website. Daarom is het geen probleem om 777 te gebruiken als permissies, want als jij toch de enige bent die er toegang toe heeft, dan maakt het niet uit dat de permissies in theorie toegang voor iedereen geven. Vandaar dat ik al eens eerder geschreven heb dat je 777 niet moet gebruiken, tenzij de webhost aangeeft dat in hun server-setup gewoon veilig is (wat hier blijkbaar het geval is).

Uiteindelijk komt het er op neer dat je PHPmyAdmin zult moeten gebruiken voor het maken van een backup.

els · 2008-11-21 20:12:49

Dat ik voortaan weer phpMyAdmin moet gaan gebruiken, daar had ik me al bij neergelegd :)

Hartstikke bedankt voor de uitleg, het is me weer wat duidelijker geworden. (Ik zoek zelf echt altijd wel, en er is meer dan genoeg informatie te vinden, maar het is niet altijd makkelijk daar iets uit te halen waar ik mee uit de voeten kan…)
En extra bedankt dat je de tijd hebt genomen zo net voor een nieuwe release :)

RedFox · 2008-11-21 20:31:16

Ik weet niet of je er wat aan hebt Els, maar ik gebruik tegenwoordig de mogelijkheden van Plesk om ‘scheduled backups’ te maken. Elke dag, week of maand een volledige backup op dezelfde server geparkeerd of via FTP naar een andere (eigen!) server.

Last edited by RedFox (2008-11-21 20:35:49)

els · 2008-11-21 21:14:06

Verdorie, die backup zit niet bij mijn tools, hoewel ik hem wel zie in de demo van Plesk. Mag ik misschien ook al niet…

Waar ik rss_admin_db_manager vooral handig voor vind, is 1) om klanten, die zelf nét met Txp hun eigen site kunnen bijhouden (maar voor wie phpMyAdmin toch net iets te veel gevraagd is), zelf hun backups te laten maken, en 2) om op door mijzelf gekozen tijdstippen (m.n. net vóór en net ná aanzienlijke wijzigingen) even snel te backuppen. En voor dat laatste is die Pleskfunctie ook niet geschikt. Die is wel weer handig om er niet zelf aan te hoeven denken, en om backups langer te bewaren dan die 14 dagen dan ze zelf doen, want dat vind ik toch wel wat kort ;)

RedFox · 2008-11-21 21:30:52

Els wrote:

… om klanten, die zelf nét met Txp hun eigen site kunnen bijhouden (maar voor wie phpMyAdmin toch net iets te veel gevraagd is), zelf hun backups te laten maken

Ooit eveneens geprobeerd, maar zoals jij nu ook ondervindt doen providers (on/terecht!) ‘moeilijk’ … en klanten … tja! Mijn klanten laat ik rvm_maintenance (hoi Ruud!) gebruiken (vooral omdat ik dan een mooie onderhoudspagina kan maken … :)) … deze week weer een klant een mailtje gestuurd om de plug-in ‘uit’ te zetten … :(

Last edited by RedFox (2008-11-21 21:32:05)

els · 2008-11-21 21:37:22

RedFox wrote:

… deze week weer een klant een mailtje gestuurd om de plug-in ‘uit’ te zetten … :(

ahum… overkomt mij ook nog wel eens… ;)

kees-b · 2008-11-21 22:29:30

Els, begrijp ik het goed dat je hier een reseller account bij pcextreme bedoeld?
Daar werkt het bij mij namelijk wel. Je moet alleen het pad naar mysql en mysqldump aanpassen naar:

/usr/local/mysql/bin/mysql
/usr/local/mysql/bin/mysqldump

groeten,

kees

els · 2008-11-21 22:45:34

Hoi Kees, nee, bij Linulex. Ik heb naar PCextreme gekeken naar aanleiding van jouw berichten in dat andere topic, maar ik heb echt een hekel aan directAdmin… en met Linulex had ik al ervaring met gewone accounts, hun service en helpdesk is echt goed en supersnel. Ze zijn alleen wat overbezorgd maar daar kan ik wel mee leven ;)

Joey · 2008-11-22 19:38:55

Bij alle hosts waar ik een txp heb runnen, werkt de db manager helaas ook niet :-(

els · 2008-11-22 20:36:04

Ik installeer hem toch altijd, je kunt er wel snel en vaak de tabellen mee repareren, en als ik dat in phpMyAdmin zou moeten doen zou ik daar nooit vaak genoeg aan denken. Ook kun je hem nog gebruiken voor gewone queries.

RedFox · 2008-11-22 20:45:00

Volgens mij kan je rss_admin_db_manager wel op de servers van Digitalus werkend krijgen!

Last edited by RedFox (2008-11-22 20:49:02)

Textpattern CMS

Textpattern CMS support forum

#1 2008-11-21 19:05:59

[nl-nl] rss_admin_db_manager en beveiliging: uitleg?

#2 2008-11-21 19:35:03

Re: [nl-nl] rss_admin_db_manager en beveiliging: uitleg?

#3 2008-11-21 20:12:49

Re: [nl-nl] rss_admin_db_manager en beveiliging: uitleg?

#4 2008-11-21 20:31:16

Re: [nl-nl] rss_admin_db_manager en beveiliging: uitleg?

#5 2008-11-21 21:14:06

Re: [nl-nl] rss_admin_db_manager en beveiliging: uitleg?

#6 2008-11-21 21:30:52

Re: [nl-nl] rss_admin_db_manager en beveiliging: uitleg?

#7 2008-11-21 21:37:22

Re: [nl-nl] rss_admin_db_manager en beveiliging: uitleg?

#8 2008-11-21 22:29:30

Re: [nl-nl] rss_admin_db_manager en beveiliging: uitleg?

#9 2008-11-21 22:45:34

Re: [nl-nl] rss_admin_db_manager en beveiliging: uitleg?

#10 2008-11-22 19:38:55

Re: [nl-nl] rss_admin_db_manager en beveiliging: uitleg?

#11 2008-11-22 20:36:04

Re: [nl-nl] rss_admin_db_manager en beveiliging: uitleg?

#12 2008-11-22 20:45:00

Re: [nl-nl] rss_admin_db_manager en beveiliging: uitleg?

Board footer