- Home
- Categorie
- Coding e Sistemistica
- Hosting, Server e Domini
- Proteggere cartella con password
-
Proteggere cartella con password
Ho bisogno di creare una cartella cui si possa accedere solo tramite password.
Nemmeno l'admin dovrebbe poterla visualizzare.
Facciamo un esempio pratico:
Spazio web su server dedicato.
L'admin ha il suo account ftp per accedere alle cartelle o può farlo da pannello amministrazione(plesk ecc).Un utente può usare una sua cartella per far quel che vuole.
Chiaramente non può toccare le altre ma non vuole che l'admin possa accedere alla sua.Non ha molta importanza che l'amministratore possa di fatto cancellarla, l'importante è che non possa accedervi in nessun modo.
Account ftp diversi non risolverebbero la questione, perchè l'amministratore può accedere a tutto col suo account master, quindi mi serve una soluzione che possa garantire il massimo della privacy per l'utente senza dare possibilità all'admin di poter accedere ai contenuti.
Esiste un sistema?
Grazie
-
beh direi che non è possibile, del resto il concetto di superuser nacque proprio per avere a disposizione un account che potesse fare tutto....
l'unico modo per proteggere i dati dall'utente root è quello di crittografarli
il discorso è diverso, invece, se si è il proprietario di un VPS, in quel caso si può inibire l'accesso dai terminali virtuali e quindi nessuno potrà avere accesso al VPS a parte il proprietario
-
E lo so, nel caso opposto sarebbe stato semplice.
Il mio problema è che dentro la cartella ci sono ip, user e password per collegarsi ad un database che dovrebbe essere condiviso.
In pratica, su un sito compaiono dei contenuti di un altro ma senza che il sito che se ne avvale possa in qualsiasi caso accedere effettivamente al db e magari cancellarlo.
Provo a chiedere in mysql?
Magari c'è un modo per occultare i dati o qualche sistema per far prelevare i dati non direttamente ma passando da una pagina sulla quale ho il pieno controllo.Grazie.
-
@Karapoto said:
E lo so, nel caso opposto sarebbe stato semplice.
Il mio problema è che dentro la cartella ci sono ip, user e password per collegarsi ad un database che dovrebbe essere condiviso.
In pratica, su un sito compaiono dei contenuti di un altro ma senza che il sito che se ne avvale possa in qualsiasi caso accedere effettivamente al db e magari cancellarlo.
Provo a chiedere in mysql?
Magari c'è un modo per occultare i dati o qualche sistema per far prelevare i dati non direttamente ma passando da una pagina sulla quale ho il pieno controllo.Grazie.
se ho ben capito, il sito che vorresti lockare con una password usa i dati contenuti in un DB su un altro dominio/server.....in questo caso basta settare i permessi dell'utente che accede a quel DB, eliminando i privilegi necessari alla modifica e cancellazione di tabelle e record
è chiaro che anche in questo modo i dati contenuti nella directory del primo sito restano visibili al superuser
-
Se sei in ambiente *nix puoi creare un file cifrato con il comando:
vi -x nomefile
Ti chiederà di immettere una password e poi potrai scriverci sopra.
Per rileggere il file:
vi -x nomefile
immetti la password e leggi il file.
Se non immetti la password giusta vedi solo un guazzabuglio di lettere e numeri.
Per le cartelle questo non si può fare a meno che non crei il filesystem già cifrato...ciao,
greybear
-
Grazie ragazzi, faccio un esempio per rendere più facile la valutazione.
Il forum GT decide di dare la possibilità al sito XX, di pubblicare il suo forum.
In pratica, in una cartella del sito XX, sarà visibile il forum GT al completo.Tralasciamo la questione contenuti duplicati, si può bloccare l'indicizzazione col file robot, lo scopo sarebbe solo quello di permette la consultazione ed anche il perchè di installare lo script del forum(è necessario per dare un layout personalizzato sia nella grafica che nei link ecc).
Per visualizzare il forum su un altro dominio, bisogna caricare vbulletin sullo spazio del sito XX ed inserire i dati di "nome database", root e user e password dell'utente.
In questo modo, però, basterebbe aprire il file di configurazione per far visualizzare all'amministratore di XX i dati d'accesso.
Credo che paolino abbia ipotizzato una soluzione valida, in pratica creare un utente che possa leggere il db ma non modificarlo, ora bisogna capire come agire perchè non ho mai notato setting di permessi quando aggiungo un utente al db tramite plesk.
Ma ancor prima, siamo sicuri che ciò basterebbe a prevenire guai?
Grazie ragazzi
-
beh la soluzione che ho proposto ti preserva da un eventuale utente furbo che voglia abusare dei tuoi dati, tuttavia se il sito XX viene attaccato, tramite per esempio un SQL Injection, è posssibile scalare i privilegi e quindi compromettere il tuo DB....
dico subito che proprio valutando tutti questi problemi fu creato lo standard RSS, proprio per permettere la distribuzione di dati senza i problemi dovuti ad una connessione ad un DB
non so come si procede con Plesk, però MySQL e gli altri DB permettono di creare utenti con particolari privilegi
se dai un'occhiata qui http://dev.mysql.com/doc/refman/5.0/en/grant.html noterai che la gestione dei privilegi è molto granulare, si può decidere di dare accesso R/W ad una certa tabella, mentre per le altre solo R, si può decidere che tipo di accesso dare per le stored procedures, ecc....
-
Grazie