Re: Pubblicazione di un sito: help

To: Debian-italian <debian-italian@lists.debian.org>
Subject: Re: Pubblicazione di un sito: help
From: Dario Pilori <penguin90@gmail.com>
Date: Fri, 19 Jun 2009 22:44:21 +0200
Message-id: <[🔎] 7ef8b5740906191344y3ea1c221p63fbd298e77dc6f@mail.gmail.com>
In-reply-to: <[🔎] 20090619183803.795a1fa4@acer.architettura.it>
References: <[🔎] 20090619183803.795a1fa4@acer.architettura.it>

2009/6/19 giuliano <giulianc@tiscali.it>:
> 1) in rete ho visto indicazioni circa la protezione del ServerRoot le
> cui directories devono avere owneship root:root con permissions 755:
> ma in questo modo non si consente a tutti la esecuzione? non e' meglio
> 750? mi sto confondendo?
Il permesso di esecuzione, applicato ad una directory, significa il
permesso di poterla aprire. Se neghi il permesso d'esecuzione a tutti
allora apache2 non riuscirà ad entrarci e darà all'utente l'errore 403
(Forbidden).

> 2) il luogo deputato per il DocumentRoot e' /var/www: l'utente www-data
> deve poterci scrivere per via delle mappe (che sono memorizzate in una
> subdir): e' meglio dare l'ownership di /var/www a www-data:www-data
> oppure fare una dir /var/www/pubblic come ho visto indicato in rete?
> oppure e' sufficiente la direttiva "Allow from all" in
> <Directory /var/www> nel config?
Allow from all permette semplicemente l'accesso a tutti di quella
cartella (le regole Deny e Allow servono per restringere a pochi IP
l'accesso a quella cartella oppure a bannare singoli IP).
Secondo me è meglio fare una cartella, almeno nel caso qualcuno buchi
apache alpiù può scrivere solo in quella cartella e non in tutta la
document root. Regola fondamentale della sicurezza: dai sempre i
minimi privilegi possibili.

> 2b) qual'e' l'ownership piu' adatto per gli HTML: qualsiasi o www-data?
Sempre per quello che ho detto prima è meglio se il proprietario non
sia www-data a meno che uno script cgi/php debba modificarlo.

> 3)(en passant) l'utente www-data ha in /etc/passwd una shell /bin/bash:
> e' necessario? non sarebbe meglio /bin/false?
Non saprei, ma secondo me se Debian ha impostato una shell allora vuol
dire che con /bin/false non funzionerebbe. Però potresti fare delle
prove :-)

> 4) presupponendo questa topologia di rete (la lan c'entra poco, l'ho
> messa per completezza):
>                    internet
>                       ^
>                       |
>                       v
> web server <-------> gateway <--------> lan
>
> dove deve stare il dns updater: sull'host che ospita il webserver o sul
> gateway?

Bé, sarebbe meglio se fosse messo sul gateway, in questo modo lui
pesca il tuo IP pubblico senza appoggiarsi a servizi esterni.
Altrimenti ci sono opzioni particolari di noip2 e ddclient in maniera
tale che si trovino loro l'IP pubblico anche se nattato.
Ricordati comunque di abilitare il port forwarding della porta 80 e
della porta 443 nel caso tu voglia usare anche HTTPS.

Spero di essere stato abbastanza chiaro :-)

-- 
Dario Pilori
-Linux registered user #406515

Reply to:

Follow-Ups:
- Re: Pubblicazione di un sito: help
  - From: giuliano <giulianc@tiscali.it>

References:
- Pubblicazione di un sito: help
  - From: giuliano <giulianc@tiscali.it>

Prev by Date: Re: sempre il solito discorso.
Next by Date: Re: sempre il solito discorso.
Previous by thread: Pubblicazione di un sito: help
Next by thread: Re: Pubblicazione di un sito: help
Index(es):
- Date
- Thread