Права доступа

Если вы только начинаете осваивать систему MajorDoMo и чего-то не знаете или не можете понять, то задавайте свои вопросы в этой ветке.

Модератор: immortal

nurjrJr
Сообщения: 10
Зарегистрирован: Вт мар 17, 2015 10:01 am
Благодарил (а): 0
Поблагодарили: 0

Re: Права доступа

Сообщение nurjrJr » Пн июл 22, 2019 10:06 pm

noname_npc писал(а):
nurjrJr писал(а):
Пн июл 22, 2019 9:46 pm
У меня ситуация еще интереснее
Нет окна смены пользователя
Пхпмуадмин пароль не принимает
И как зас зайти не понятно
В конфиге прописана подсеть и логин пароль с внешки
Зашел с внешки ввел логин пароль а в панель управления все равно не пускает
Что делать ??
Возможно у тебя все пользователи без прав администратора
Не исключено
Как это исправить через ssh ?
loki_bel
Сообщения: 9
Зарегистрирован: Пт окт 14, 2016 6:56 pm
Благодарил (а): 2 раза
Поблагодарили: 0

Re: Права доступа

Сообщение loki_bel » Чт авг 01, 2019 5:49 pm

Добрый день!
У меня пользователь admin c правами администратора, логично :) Но я не хотел, чтобы в домашней сети любой мог зайти на вэбсервер и ковырять там без ограничений. Соответственно убрал галю "Пользователь по умолчанию". Чтобы иметь полный доступ, нужно авторизоваться. Всё хорошо, как я и хотел. Но как только мне понадобился доступ извне, и я в config.php установил логин/пароль, началась фигня, с которой я никак не разберусь. Извне авторизация запрашивается, доступ к сайту получаю, но с правами гостя. При выборе учётки admin запрашиваются данные второй раз, и уже пара логин/пароль не подходят ни от учётки admin, ни от внешнего доступа. Как побороть это?
Ещё один вопрос по безопасности: в какой-нибудь лог пишутся неудачные авторизации, в частности извне? Можно fail2ban прикрутить от жуликов?
loki_bel
Сообщения: 9
Зарегистрирован: Пт окт 14, 2016 6:56 pm
Благодарил (а): 2 раза
Поблагодарили: 0

Re: Права доступа

Сообщение loki_bel » Чт авг 08, 2019 7:42 pm

loki_bel писал(а):
Чт авг 01, 2019 5:49 pm
Добрый день!
У меня пользователь admin c правами администратора, логично :) Но я не хотел, чтобы в домашней сети любой мог зайти на вэбсервер и ковырять там без ограничений. Соответственно убрал галю "Пользователь по умолчанию". Чтобы иметь полный доступ, нужно авторизоваться. Всё хорошо, как я и хотел. Но как только мне понадобился доступ извне, и я в config.php установил логин/пароль, началась фигня, с которой я никак не разберусь. Извне авторизация запрашивается, доступ к сайту получаю, но с правами гостя. При выборе учётки admin запрашиваются данные второй раз, и уже пара логин/пароль не подходят ни от учётки admin, ни от внешнего доступа. Как побороть это?
Ещё один вопрос по безопасности: в какой-нибудь лог пишутся неудачные авторизации, в частности извне? Можно fail2ban прикрутить от жуликов?
Друзья, кто-нибудь подскажет?
nurjrJr
Сообщения: 10
Зарегистрирован: Вт мар 17, 2015 10:01 am
Благодарил (а): 0
Поблагодарили: 0

Re: Права доступа

Сообщение nurjrJr » Чт авг 08, 2019 8:12 pm

loki_bel писал(а):
loki_bel писал(а):
Чт авг 01, 2019 5:49 pm
Добрый день!
У меня пользователь admin c правами администратора, логично :) Но я не хотел, чтобы в домашней сети любой мог зайти на вэбсервер и ковырять там без ограничений. Соответственно убрал галю "Пользователь по умолчанию". Чтобы иметь полный доступ, нужно авторизоваться. Всё хорошо, как я и хотел. Но как только мне понадобился доступ извне, и я в config.php установил логин/пароль, началась фигня, с которой я никак не разберусь. Извне авторизация запрашивается, доступ к сайту получаю, но с правами гостя. При выборе учётки admin запрашиваются данные второй раз, и уже пара логин/пароль не подходят ни от учётки admin, ни от внешнего доступа. Как побороть это?
Ещё один вопрос по безопасности: в какой-нибудь лог пишутся неудачные авторизации, в частности извне? Можно fail2ban прикрутить от жуликов?
Друзья, кто-нибудь подскажет?
Похоже нет
skysilver
Сообщения: 2687
Зарегистрирован: Чт авг 21, 2014 8:28 am
Откуда: Киров, Россия
Благодарил (а): 348 раз
Поблагодарили: 1556 раз
Контактная информация:

Re: Права доступа

Сообщение skysilver » Чт авг 08, 2019 9:53 pm

loki_bel писал(а):
Чт авг 08, 2019 7:42 pm
Ещё один вопрос по безопасности: в какой-нибудь лог пишутся неудачные авторизации, в частности извне?
auth.log в /cms/debmes.
За это сообщение автора skysilver поблагодарил:
loki_bel (Чт авг 15, 2019 10:14 pm)
Рейтинг: 1.27%
MajorDoMo (GitHub) на Cubietruck. ОС Debian 7 (wheezy) (kernel 3.4.105) с переносом на HDD.
Мой CONNECT | Блоги | Telegram
loki_bel
Сообщения: 9
Зарегистрирован: Пт окт 14, 2016 6:56 pm
Благодарил (а): 2 раза
Поблагодарили: 0

Re: Права доступа

Сообщение loki_bel » Вс авг 18, 2019 1:07 am

skysilver писал(а):
Чт авг 08, 2019 9:53 pm
loki_bel писал(а):
Чт авг 08, 2019 7:42 pm
Ещё один вопрос по безопасности: в какой-нибудь лог пишутся неудачные авторизации, в частности извне?
auth.log в /cms/debmes.
skysilver, cпасибо за ответ!
Сколько не пытался отловить fai2ban'ом, не получается. Неудачные попытки для sshd и apache-phpmyadmin банит на раз. А вот создал конфиг majordomo и правило, - не банит. Команда fail2ban-regex отлавливает все совпадения, т.е. в конфиге ошибки нет, но при просмотре статуса fail2ban-client status majordomo показывает всё по нулям.
Обратил внимание, что в логах время отстаёт на 3 часа. Как будто пишется UTC без часового пояса. В этом тоже может быть проблема. Кто-нибудь может подсказать, как побороть? Или где находится фрагмент кода, который отвечает за запись лога. Может быть его поправить под себя.
freesh
Сообщения: 26
Зарегистрирован: Сб окт 12, 2019 2:10 pm
Благодарил (а): 2 раза
Поблагодарили: 1 раз

Re: Права доступа

Сообщение freesh » Чт окт 31, 2019 11:17 am

loki_bel писал(а):
Вс авг 18, 2019 1:07 am
skysilver писал(а):
Чт авг 08, 2019 9:53 pm
loki_bel писал(а):
Чт авг 08, 2019 7:42 pm
Ещё один вопрос по безопасности: в какой-нибудь лог пишутся неудачные авторизации, в частности извне?
auth.log в /cms/debmes.
skysilver, cпасибо за ответ!
Сколько не пытался отловить fai2ban'ом, не получается. Неудачные попытки для sshd и apache-phpmyadmin банит на раз. А вот создал конфиг majordomo и правило, - не банит. Команда fail2ban-regex отлавливает все совпадения, т.е. в конфиге ошибки нет, но при просмотре статуса fail2ban-client status majordomo показывает всё по нулям.
Обратил внимание, что в логах время отстаёт на 3 часа. Как будто пишется UTC без часового пояса. В этом тоже может быть проблема. Кто-нибудь может подсказать, как побороть? Или где находится фрагмент кода, который отвечает за запись лога. Может быть его поправить под себя.
Добрый день. Есть какие-нибудь подвижки в направлении прикручивания fail2ban? сам сейчас пытаюсь а то регулярно брутфорсят :) но с регулярками пока трудности, может есть идеи, уже проверенные регулярки пусть не до конца?
loki_bel
Сообщения: 9
Зарегистрирован: Пт окт 14, 2016 6:56 pm
Благодарил (а): 2 раза
Поблагодарили: 0

Re: Права доступа

Сообщение loki_bel » Ср ноя 06, 2019 2:18 am

freesh писал(а):
Чт окт 31, 2019 11:17 am
loki_bel писал(а):
Вс авг 18, 2019 1:07 am
skysilver писал(а):
Чт авг 08, 2019 9:53 pm
loki_bel писал(а):
Чт авг 08, 2019 7:42 pm
Ещё один вопрос по безопасности: в какой-нибудь лог пишутся неудачные авторизации, в частности извне?
auth.log в /cms/debmes.
skysilver, cпасибо за ответ!
Сколько не пытался отловить fai2ban'ом, не получается. Неудачные попытки для sshd и apache-phpmyadmin банит на раз. А вот создал конфиг majordomo и правило, - не банит. Команда fail2ban-regex отлавливает все совпадения, т.е. в конфиге ошибки нет, но при просмотре статуса fail2ban-client status majordomo показывает всё по нулям.
Обратил внимание, что в логах время отстаёт на 3 часа. Как будто пишется UTC без часового пояса. В этом тоже может быть проблема. Кто-нибудь может подсказать, как побороть? Или где находится фрагмент кода, который отвечает за запись лога. Может быть его поправить под себя.
Добрый день. Есть какие-нибудь подвижки в направлении прикручивания fail2ban? сам сейчас пытаюсь а то регулярно брутфорсят :) но с регулярками пока трудности, может есть идеи, уже проверенные регулярки пусть не до конца?
Решение есть, но это костыль. Проблема в том, что лог должен быть определённого формата. Строка должна начинаться с метки времени. В нашем случае запись в лог происходит через вызов функции debmes, в файле /var/www/lib/general.class.php. Лог пишется следующего вида: "09:34:58 0.83955100 213.87.149.238 [01/11/2019:09:34:58] Username and/or password invalid. Login: login Password: pass".
Fail2ban может реагировать на такой формат лога, если в filter.d внести, например, "failregex = .{20}<HOST>" (без кавычек). Но debmes пишет время в UTC без учёта часового пояса. И строки после полуночи не обрабатываются fail2ban.
Например, в конфиге стоит параметр findtime = 600 (искать за последние 10 часов). Часовой пояс в системе выставлен +3. В час ночи появляется запись в логе с меткой времени 22:00:00. Система не банит ip, т.к. интервал времени больше 10 часов. Если время записи больше полуночи, то система посчитает этот случай правильно.
Второй момент - fail2ban во время старта фиксирует конкретные файлы для мониторинга по параметру logpath = /var/www/cms/debmes/*_auth.log. Но debmes создаёт каждый день новый файл. Все новые файлы fail2ban применит после перезапуска службы одновременно со сбросом своей статистики. Поэтому ставить в расписание перезапуск fail2ban тоже не вариант.
Может я чего-то не догоняю, но я увидел только один вариант - это скорректировать файл general.class.php. Прописал вывод лога не функцией debmes, а запись в файл средствами php. Во-первых в постоянный файл, во-вторых с учётом часового пояса.
Fail2ban отрабатывает "на ура". Но, на сколько я понял, при обновлении majordomo файл general.class.php снова перезапишется. Как я сразу написал, - это костыль. Если кто подскажет более элегантное решение, буду признателен.
freesh
Сообщения: 26
Зарегистрирован: Сб окт 12, 2019 2:10 pm
Благодарил (а): 2 раза
Поблагодарили: 1 раз

Re: Права доступа

Сообщение freesh » Пт ноя 08, 2019 11:24 am

Жаль что более нативно не прикрутить.
Ну пришлось прятаться за OpenVPN а то устал брутфорсеров банить ручками:)
Ответить