Suggestion: Ta bort alla "chmod"-satser i installbbb.sh

[maglub]

Här har ni en massa chmod som inte behövs (som bara gör systemet osäkert mot hackare)

https://github.com/Electrotest/BehovsBoBoxen/blob/master/installbbb.sh#L33,L68

Förslag:

Före:

sudo chmod 0666 /var/www/html -R
#Ändrar behörighet för mapp med filer till hemsidor

sudo chmod 0777 /var/www/html/application/data -R
#Full behörighet för datafilen

sudo chmod 0777 /var/www/html/application/textfiles -R
#Full behörighet för textfilesfilen

sudo chmod 777 /etc/rc.local
#Ändrar behörighet för script som körs vid reboot

sudo chmod 777 /etc/vsftpd.conf
#Ändrar behörighet för config fil för ftp

sudo chmod 777 /etc/network/interfaces
#Ändrar behörighet för nätverksinställningar

cp /home/pi/2015/rc.local /etc/rc.local
# kopierar filen som startar boxen vid reboot

cp /home/pi/2015/getspotprice.py /home/pi/getspotprice.py
#kopierar filen som hämtar spotpriset på Nordpool

cp /home/pi/2015/dallas2.py /home/pi/dallas2.py
#kopierar själva huvudfilen

cp -R /home/pi/2015/www /var/
#kopierar filerna för hemsidan
sudo chmod 0666 /var/www/html -R

rm /var/www/html/index.html

sudo chmod 777 /boot/config.txt
# ändrar behörighet
cp /home/pi/2015/config.txt /boot/config.txt

Mitt förslag:

sudo chmod 0666 /var/www/html -R
#Ändrar behörighet för mapp med filer till hemsidor

sudo chmod 0777 /var/www/html/application/data -R
#Full behörighet för datafilen

#sudo chmod 0777 /var/www/html/application/textfiles -R
#Full behörighet för textfilesfilen

#sudo chmod 777 /etc/vsftpd.conf
#Ändrar behörighet för config fil för ftp

#sudo chmod 777 /etc/network/interfaces
#Ändrar behörighet för nätverksinställningar

sudo cp /home/pi/2015/rc.local /etc/rc.local
# kopierar filen som startar boxen vid reboot

cp /home/pi/2015/getspotprice.py /home/pi/getspotprice.py
#kopierar filen som hämtar spotpriset på Nordpool

cp /home/pi/2015/dallas2.py /home/pi/dallas2.py
#kopierar själva huvudfilen

sudo -u www-data cp -R /home/pi/2015/www /var/
#kopierar filerna för hemsidan
sudo chown -R www-data /var/www/html
# Sätter ownership till www-data på alla filer i /var/www/html

sudo rm /var/www/html/index.html

echo "dtoverlay=w1-gpio,gpiopin=21" | sudo tee -a /boot/config.txt

[guni12]

Här får vi inte ordning på det tyvärr. Med 666 på var/www/html fungerar inte koden, då begränsas rättigheterna på allt därunder för oss. För enkelhetens skull har vi haft 777 på allt, vilket givetvis inte är bra. Vad gör vi för fel?

[maglub]

666 är lika dåligt som 777, så jag kanske vilseledde er lite:

• 666 = rw-rw-rw, vilket betyder att filägaren, gruppmedlemmar och alla andra har läs och skiv-rättigheter.
• 777 = rwxrwxrwx, vilket bedyder att filägaren, gruppmedlemmar och alla andra har exekverings, läs och skiv-rättigheter.

x används dessutom för att styra ifall man kan läsa innehållet i ett bibliotek. Därför är 755 (rwxr-xr-x) mycket bättre. Det bedyder att bara ägaren (de första tre bokstäverna) har rwx, mao exekverings, läs och skiv-rättigheter, emedan gruppmedlemmar (andra trion) och alla andra (sista trion) har r-x, vill säga läs och exekvering.

Näst bäst är att sköta det per grupper (eftersom web-servern körs som www-data och många av era filer bör ägas av användaren pi) och köra med rättigheten 775 (ägaren och gruppen kan göra allt).

Det känns lite som att ni har mycket kvar att göra innan eran produkt är redo för den stora massan. Att sätta en hus-styrningsburk mot internet utan att tryggt ha tightat upp den är att bjuda in till problem. Det är inte för inte som IOT (internet of things) ibland kallas för "internet of millions of compromised things". I mån av tid kan jag självklart hjälpa till.

En grej jag gör i mina system är att lägga till användaren "pi" till gruppen "www-data" samt lägga till användaren "www-data" till gruppen "pi". Det brukar göra susen för det mesta. Var noga med att köra med "775".

sudo usermod -a -G www-data pi
sudo usermod -a -G pi www-data

Loggarna brukar ofta visa varför det inte fungerar för er.

[Electrotest]

Tack för din hjälp, vi återkommer

Dir Anders

Från: Magnus Lübeck [mailto:notifications@github.com] Skickat: den 9 november 2015 11:44 Till: Electrotest/BehovsBoBoxen Ämne: Re: [BehovsBoBoxen] Suggestion: Ta bort alla "chmod"-satser i installbbb.sh (#2)

666 är lika dåligt som 777, så jag kanske vilseledde er lite:

• 666 = rw-rw-rw, vilket betyder att filägaren, gruppmedlemmar och alla andra har läs och skiv-rättigheter.
• 777 = rwxrwxrwx, vilket bedyder att filägaren, gruppmedlemmar och alla andra har exekverings, läs och skiv-rättigheter.

x används dessutom för att styra ifall man kan läsa innehållet i ett bibliotek. Därför är 755 (rwxr-xr-x) mycket bättre. Det bedyder att bara ägaren (de första tre bokstäverna) har rwx, mao exekverings, läs och skiv-rättigheter, emedan gruppmedlemmar (andra trion) och alla andra (sista trion) har r-x, vill säga läs och exekvering.

Näst bäst är att sköta det per grupper (eftersom web-servern körs som www-data och många av era filer bör ägas av användaren pi) och köra med rättigheten 775 (ägaren och gruppen kan göra allt).

Det känns lite som att ni har mycket kvar att göra innan eran produkt är redo för den stora massan. Att sätta en hus-styrningsburk mot internet utan att tryggt ha tightat upp den är att bjuda in till problem. Det är inte för inte som IOT (internet of things) ibland kallas för "internet of millions of compromised things". I mån av tid kan jag självklart hjälpa till.

En grej jag gör i mina system är att lägga till användaren "pi" till gruppen "www-data" samt lägga till användaren "www-data" till gruppen "pi". Det brukar göra susen för det mesta. Var noga med att köra med "775".

sudo usermod -a -G www-data pi sudo usermod -a -G pi www-data

Loggarna brukar ofta visa varför det inte fungerar för er.

— Reply to this email directly or view it on GitHub https://github.com/Electrotest/BehovsBoBoxen/issues/2#issuecomment-155025727 .Bild som tagits bort av avsändaren.