Beveiligen van php/html 3rd party code middels authorisatie

[wizjos]

M@rco,

Daar heb je helemaal gelijk in! Alleen, ik heb, zoals ik al schreef, het hele boeltje in /volume1/adminweb staan en dat is een directory die hoe dan ook niet bereikbaar is op een directe manier
Reden hiervoor is dat ik op deze manier een afgescheiden deel van m'n volume1 in kan richten voor 'gevoelige' zaken die ik niet in de normale webomgeving wil hebben.

Waarom dan niet direct onder phpsrc? Omdat daar de ruimte redelijk beperkt is; Synology is er nooit van uit gegaan dat eindgebruikers hier ook nog wel eens wat willen plaatsen en hebben maar een relatief klein systeem gedeelte ingericht, dus je loopt kans dat als je al te grote pakketten in bv. phpsrc gaat zetten je bij een update de melding krijgt dat de ruimet ontoereikend is....
Daarnaast geldt ook nog dat ik op meedere fora heb gelezen dat de 3rd party omgeving bij een systeemupdate om zeep geholpen kan worden (vandaar ook de eerder geposte Manager met backup mogelijkheid)
Kortom, heel wat overwegingen... Maar wat jij schrijft is natuurlijk ook heel goed mogelijk... Maak alleen niet de fout om phpMyAdmin te installeren in de normale web-omgeving; deze met allerlei beveiligings-toeters-en-bellen vanuit de https omgeving benaderbaar te maken en vervolgens te vergeten dat 'ie via de achterdeur (de normale webomgeving dus) nog steeds benaderbaar is

Knutsel ze! Het is er vandaag tenslotte weer voor

Groet,

Wizjos

[m@rco]

M@rco,

Daar heb je helemaal gelijk in! Alleen, ik heb, zoals ik al schreef, het hele boeltje in /volume1/adminweb staan en dat is een directory die hoe dan ook niet bereikbaar is op een directe manier
Reden hiervoor is dat ik op deze manier een afgescheiden deel van m'n volume1 in kan richten voor 'gevoelige' zaken die ik niet in de normale webomgeving wil hebben.

Waarom dan niet direct onder phpsrc? Omdat daar de ruimte redelijk beperkt is; Synology is er nooit van uit gegaan dat eindgebruikers hier ook nog wel eens wat willen plaatsen en hebben maar een relatief klein systeem gedeelte ingericht, dus je loopt kans dat als je al te grote pakketten in bv. phpsrc gaat zetten je bij een update de melding krijgt dat de ruimet ontoereikend is....
Daarnaast geldt ook nog dat ik op meedere fora heb gelezen dat de 3rd party omgeving bij een systeemupdate om zeep geholpen kan worden (vandaar ook de eerder geposte Manager met backup mogelijkheid)
Kortom, heel wat overwegingen... Maar wat jij schrijft is natuurlijk ook heel goed mogelijk... Maak alleen niet de fout om phpMyAdmin te installeren in de normale web-omgeving; deze met allerlei beveiligings-toeters-en-bellen vanuit de https omgeving benaderbaar te maken en vervolgens te vergeten dat 'ie via de achterdeur (de normale webomgeving dus) nog steeds benaderbaar is

Knutsel ze! Het is er vandaag tenslotte weer voor

Groet,

Wizjos

Hoi Wizjos,

Bedankt voor je duidelijke antwoord.

Dan ga ik de boel maar verplaatsen  
Daar kan ik dus ook eXtplorer naar verplaatsen
En kun je daar dan alle 3rd party items die werken met php daar naar toe verplaatsen

Groetjes m@rco

[wizjos]

Dan ga ik de boel maar verplaatsen  
Daar kan ik dus ook eXtplorer naar verplaatsen
En kun je daar dan alle 3rd party items die werken met php daar naar toe verplaatsen

M@rco,

Inderdaad, extplorer zou je daar ook moeten kunnen plaatsen en inderdaad, eigenlijk alle 3rd party wel denk ik... 't is tenslotte altijd de moeite waard het te proberen

Groet,

Wizjos

[m@rco]

Ik krijg toch weer een error.

Warning: require_once(./libraries/common.inc.php) [function.require-once]: failed to open stream: No such file or directory in /volume1/adminweb/phpmyadmin/index.php on line 34

Fatal error: require_once() [function.require]: Failed opening required './libraries/common.inc.php' (include_path='.:/usr/syno/php/lib/php') in /volume1/adminweb/phpmyadmin/index.php on line 34

Waarschijnlijk doordat ik niet alles in /usr/syno/apache/conf/httpd.conf-sys  heb uitgevoerd.
Omdat ik niet wil dat alles wagenwijd openstaat.

Ik geeft het voor vandaag weer op.
Ik heb er geen kracht meer voor      

Groetjes m@rco

[m@rco]

* open_basedir stond default op al een lading directories (inclusief /tmp/ wel zo handig voor voorbeeld hierboven). Deze leeglaten vind ik geen goed idee qua security, zie andere posting. Zet er anders je shares in die php scripts moeten kunnen bereiken, of gebruik mijn 'WebShare Enable' package om dit wat makkelijker te doen.
Remco

Hoi Remco,

Ik heb nog een vraag betreffende het gebruik van Webshare Enable.
Als ik daar nu in kijk dan zijn alleen de mappen /photo en /web enabled.
Als ik dat doe met bijvoorbeeld phpmyadmin of extplorer zijn deze dan van buitenaf bereikbaar?

Of is Webshare enable alleen bedoeld om er voor te zorgen dat er in die map php code uitgevoerd kan worden?
Dus als ik die enable dan hoef ik niet bang te zijn dat deze rechstreeks benaderbaar zijn?

Groetjes m@rco

[merty]

M@rco,

Nee het is eigenlijk andersom. Standaard configuratie is dat alle files die de webserver kan bereiken, PHP files kunnen zijn (en dus uitgevoerd worden). Maar, je wilt liever niet dat PHP scripts *alle* bestanden (ook buiten de webserver) bereikbaar zijn door (buggy-) php scripts (vandaar de open_basedir settings in PHP). Stel je voor dat een verkeerd geprogrammeerde php script plotseling je configuratiebestanden laat zien inclusief passwords, of je prive map met documentatie aan de hele wereld beschikbaar maakt... Maar ik kan me voorstellen dat je vanuit je PHP script wel bij bijvoorbeeld de share directories wilt komen, bijvoorbeeld voor upload/download/search achtige php scripts. Hiervoor zou je je PHP.ini moeten aanpassen om deze directories handmatig erbij zetten, en daarna webserver restarten, maar je kan ook mijn programma'tje gebruiken door simpelweg de share aan te vinken die toegangkelijk moet zijn voor PHP.
Overigens, default staat de share 'web' al aan (dat is voor de webserver; PHP scripts moeten wel bij hun eigen files kunnen ), 'music' voor audiostation en 'photo' voor photostation. Dat zou ik ook zo laten

Kortom, het gaat erover waar php scripts bij mogen komen of niet, niet of php scripts gedraait mogen worden of niet. In dat laatste geval zou ik (ook) kijken naar gebruik van .htaccess files waar je dit soort regels kan instellen.....

Groeten,

Remco

[Luit]

Remco,

betekent dit ook dat als ik met eXTplorer overal aan wil kunnen komen, de open_basedir dus  leeg moet zijn?
Of is er een manier om met eXtplorer wel overal aan te kunnen komen maar andere PHP scripts geen toegang te geven.

Luit

[m@rco]

M@rco,

Nee het is eigenlijk andersom. Standaard configuratie is dat alle files die de webserver kan bereiken, PHP files kunnen zijn (en dus uitgevoerd worden). Maar, je wilt liever niet dat PHP scripts *alle* bestanden (ook buiten de webserver) bereikbaar zijn door (buggy-) php scripts (vandaar de open_basedir settings in PHP). Stel je voor dat een verkeerd geprogrammeerde php script plotseling je configuratiebestanden laat zien inclusief passwords, of je prive map met documentatie aan de hele wereld beschikbaar maakt... Maar ik kan me voorstellen dat je vanuit je PHP script wel bij bijvoorbeeld de share directories wilt komen, bijvoorbeeld voor upload/download/search achtige php scripts. Hiervoor zou je je PHP.ini moeten aanpassen om deze directories handmatig erbij zetten, en daarna webserver restarten, maar je kan ook mijn programma'tje gebruiken door simpelweg de share aan te vinken die toegangkelijk moet zijn voor PHP.
Overigens, default staat de share 'web' al aan (dat is voor de webserver; PHP scripts moeten wel bij hun eigen files kunnen ), 'music' voor audiostation en 'photo' voor photostation. Dat zou ik ook zo laten

Kortom, het gaat erover waar php scripts bij mogen komen of niet, niet of php scripts gedraait mogen worden of niet. In dat laatste geval zou ik (ook) kijken naar gebruik van .htaccess files waar je dit soort regels kan instellen.....

Groeten,

Remco

Hoi Remco,

Ik snap het nog steeds niet. Ligt niet aan jou maar aan mij  

Wat ik heb gedaan is het volgende:

Map aangemaakt op /volume1/webmanage
Hierin staan 2 mappen: phpMyAdmin en AjaXplorer.

In /usr/syno/synoman/webman/3rdparty/ heb ik /phpMyAdmin + /AjaXplorer aangemaakt
Heb ik bij allebei de application.cfg aangemaakt en deze verwijzen naar:
/usr/syno/synoman/phpsrc/AjaXplorer en /usr/syno/synoman/phpsrc/phpMyAdmin
BIj allebei heb ik een toegang .php aangemaakt met de code van jou / Wizjos.

In /usr/syno/apache/conf/httpd.conf-sys heb ik de 2 regels toegevoegd en opnieuw gestart.

Eerst wou het de php file downloaden maar naar de herstart laat hij wel het scherm van de 3d party zien maar hij laad niets
Als ik dan bij eigeschappen ga kijken (rechter muisknop windows) dan geeft hij toegang.php aan.

Ben ik nog iets vergeten?

Groetjes m@rco

[merty]

betekent dit ook dat als ik met eXTplorer overal aan wil kunnen komen, de open_basedir dus  leeg moet zijn?
Of is er een manier om met eXtplorer wel overal aan te kunnen komen maar andere PHP scripts geen toegang te geven.

Helaas, de open_basedir config optie is inderdaad van toepassing op *alle* php scripts die draaien op die webserver. Helaas is PHP6 niet geinstalleerd, daar had het wel gekund om in .htaccess files deze waarde te overrulen.
Dus inderdaad, wil je dat eXTplorer overal (dus ook /bin/ /etc en alle andere enge directories) bij kan komen, dan zul je 'm leeg moeten houden..

Groeten,

Remco

[merty]

Wat ik heb gedaan is het volgende:

Map aangemaakt op /volume1/webmanage
Hierin staan 2 mappen: phpMyAdmin en AjaXplorer.

In /usr/syno/synoman/webman/3rdparty/ heb ik /phpMyAdmin + /AjaXplorer aangemaakt
Heb ik bij allebei de application.cfg aangemaakt en deze verwijzen naar:
/usr/syno/synoman/phpsrc/AjaXplorer en /usr/syno/synoman/phpsrc/phpMyAdmin
BIj allebei heb ik een toegang .php aangemaakt met de code van jou / Wizjos.

In /usr/syno/apache/conf/httpd.conf-sys heb ik de 2 regels toegevoegd en opnieuw gestart.

Eerst wou het de php file downloaden maar naar de herstart laat hij wel het scherm van de 3d party zien maar hij laad niets
Als ik dan bij eigeschappen ga kijken (rechter muisknop windows) dan geeft hij toegang.php aan.

Ben ik nog iets vergeten?

Hmmm...dat truukje met includen is leuk, maar denk niet dat het altijd werkt omdat sommige php scripts rechtstreeks z'n 'helper' php scripts wilt aanroepen, wat dus niet lukt. Wellicht dat het voor phpMyadmin wel werkt, omdat dat een en dezelfde php pagina is, maar ajaXplorer wordt dat wat ingewikkelder...

Anyway, met "laad niets" bedoel je waarschijnlijk dat je een lege pagina krijgt ? wellicht dat de include directory/naam niet goed staat in het 'toegang.php' script, probeer anders een een  echo "TESTJE"; voor die include regel te zetten. Kijk of na het aanroepen wel 'TESTJE' ziet, dan weet je dat er iets mis is met het includen.
Daarnaast is het nog steeds nodig om '/volume1/webmanage' bij de directories in open_basedir conf te zetten, (of dus open_basedir leeg te houden)

Toch moet er een makkerlijker manier zijn om te beveiligen...moet er nog even over nadenken

PS. In eerdere voorbeelden werd '/volume1/adminweb' gebruikt ipv. '/volume1/webmanage' ...is dit wellicht verkeerd ?

Groeten,

Remco

[wizjos]

Remco,

Even ter verduidelijking: dat 'adminweb' is een geheel door mijzelf uitgevonden en aangemaakte directory onder volume1. Het was wat mij betreft ook enkel maar een voorbeeld om aan te geven dat een gedeelte van je web-omgeving dat je op een veilige plek wilt bewaren/managen niet in de dir /volume1/web of de https-specifieke omgeving (phpsrc) hoeft te staan om te werken...  
Overigens, webmanage ken ik weer niet (tenzij je /volume1/web ermee bedoelt)

Groet,

Wizjos

[merty]

Wizjos,

Ja dat snapte ik wel..

Overigens, webmanage ken ik weer niet

Ik zei dat omdat in uitleg van marco werd genoemd

Map aangemaakt op /volume1/webmanage
Hierin staan 2 mappen: phpMyAdmin en AjaXplorer.

en

BIj allebei heb ik een toegang .php aangemaakt met de code van jou / Wizjos.

Als hij dat letterlijk heeft gedaan, verwijst toegang.php dus niet naar webmanage...

Overigens, kwam erachter dat de include truuk helaas ook niet altijd werkt omdat je dan een hoop gezeur krijgt over cookies en headers met scripts die dat perse willen zetten..

Groeten,

Remco

[m@rco]

Wizjos,

Ja dat snapte ik wel..

Overigens, webmanage ken ik weer niet

Ik zei dat omdat in uitleg van marco werd genoemd

Map aangemaakt op /volume1/webmanage
Hierin staan 2 mappen: phpMyAdmin en AjaXplorer.

en

BIj allebei heb ik een toegang .php aangemaakt met de code van jou / Wizjos.

Als hij dat letterlijk heeft gedaan, verwijst toegang.php dus niet naar webmanage...

Overigens, kwam erachter dat de include truuk helaas ook niet altijd werkt omdat je dan een hoop gezeur krijgt over cookies en headers met scripts die dat perse willen zetten..

Groeten,

Remco

Goedemorgen heren,

Ik heb de toegang.php niet letterlijk genomen.  
Ik ben wel een leek   maar ik was gisteren nog wel wakker  

Ik heb in de toegang.php netjes de verwijzing aangepast naar /volume1/webmanage/
Ik vond webmanage lekkerder klinken als adminweb. Smaken verschillen  

Ik heb inmiddels voor de 3x alles opnieuw geinstalleerd (ik had de bootstrap van nslu geprobeerd maar dat gaf meer problemen).
En ik zit er teveel mee te rotzooien. LOL. Anders leer je het nooit. Hahahah

Wat ik graag wil weten is wat moet ik nu open zetten om phpMyAdmin en AjaXplorer te laten werken zonder dat het van buitenaf bereikbaar is.

Dus de 2 regels toevoegen in /usr/syno/apache/conf/httpd.conf-sys.
De regel /volume1/webmanage toevoegen aan open_basedir (eventueel met Webshare Enable van Remco)

En moet ik dan nog iets doen?
Moet ik ook nog in /usr/syno/apache/conf/httpd.conf-sys de index.php toevoegen?

En als ik het goed begrepen heb en wil ik met AjaXplorer de hele synology bereiken dan moet ik open_basedir helemaal leeg laten.
Geeft dat een extra risico van buitenaf.?

Groetjes m@rco

[m@rco]

Nou het heeft even geduurd maar het werkt  

Ik heb niet de optie van Wizjos gebruikt. Dus /volume1/admin (of webmanage).
Want dat kreeg ik niet werkend.
Extplore gaf wel een scherm maar ging niet door.
phpMyAdmin gaf een error dat ./libraries niet kon vinden (dit is een submap van phpmyadmin)
Toen toch alles in phpsrc gekopiert.

Volgens deze handleiding http://www.synology.nl/forum/viewtopic.php?f=83&t=2182 alles opengezet.
Wel een backup gemaakt van orginele php.in en http.conf-sys. Deze gekopiert naar /volume1

Voor phpmyadmin en extplorer heb ik de volgende code toegevoegd in de index.php.
Helemaal boven aan.

Code: [Selecteer]

<?php
putenv('HTTP_COOKIE='&#46;$_SERVER['HTTP_COOKIE'&#93;);
putenv('REMOTE_ADDR='&#46;$_SERVER['REMOTE_ADDR'&#93;);
$user=exec('/usr/syno/synoman/webman/modules/authenticate&#46;cgi');
if($user != 'admin'){
    header("HTTP/1&#46;0 403 Forbidden");
    exit;
}
Let op!! Er staat al een <?php bovenaan in de index.php van phpmyadmin en extplorer.
Haal deze eerst weg voordat je de tekst er in plakt.

Als ik nu niet ingelogt ben en ik gaan naar bijvoorbeeld https://jouwip:5001/phpsrc/applicatie/a%20...%20ienaam.php
Dan krijg ik gewoon een wit scherm. Als ik ingelogt ben dan is bovenstaande url wel bereikbaar.
En het werkt  

Voor de rest heb ik de uitleg voor het toevoegen van 3rdparty apps gebruikt.
Dus aanmaken van de apllication.cfg

Groetjes m@rco