Foros del Web » Creando para Internet » Sistemas de gestión de contenidos » Drupal »

[SOLUCIONADO] Permisos del 'settings.php'

Estas en el tema de Permisos del 'settings.php' en el foro de Drupal en Foros del Web. Me da un poco de verguenza preguntar esto, a estas alturas, pero realmente todavia no se cuales son los permisos que debe tener el archivo ...
  #1 (permalink)  
Antiguo 10/12/2013, 15:14
raulfw
Invitado
 
Mensajes: n/a
Puntos:
Pregunta Permisos del 'settings.php'

Me da un poco de verguenza preguntar esto, a estas alturas, pero realmente todavia no se cuales son los permisos que debe tener el archivo 'settings.php'.

¿755 o 555?

En cualquier caso, algo que no entiendo, es que en ambos casos ES POSIBLE LEERLO. Y yo eso no lo entiendo por que en ese archivo es donde esta el nombre de usuario de la base de datos y su contraseña.

Supongo que aunque parezca que se puede leer, en realidad el usuario normal no puede, ¿verdad? ¿por que?

En fin, estoy hecho un lio con esto. ¿Alguien nos lo puede explicar?

MUCHAS GRACIAS A QUIEN CONTESTE.
  #2 (permalink)  
Antiguo 11/12/2013, 03:21
Avatar de MarioAraque
Colaborador
 
Fecha de Ingreso: octubre-2009
Ubicación: Valencia
Mensajes: 1.398
Antigüedad: 15 años, 1 mes
Puntos: 265
Respuesta: Permisos del 'settings.php'

Yo lo pondría en 444, si algún módulo intenta leerte ese fichero directamente Drupal te pediría que cambies los permisos.

Ese fichero es un .php, leerlo...y si lo ejecutan tampoco obtendrían muchos resultados.
Lo que quizás deberías proteger es tu cron.php ya que si lo ejecutan muchas veces seguidas y tenés muchos módulos instalados puede que tu site vaya lento. Igual eso en caso de que te ataquen la web o cosas más puñeteras.

Saludos.
  #3 (permalink)  
Antiguo 11/12/2013, 06:44
raulfw
Invitado
 
Mensajes: n/a
Puntos:
Respuesta: Permisos del 'settings.php'

Hola Mario, gracias por contestar.

En primer lugar decir que no me deja ponerlo en 444, y me lo cambia automaticamente a 644 ¿¿??

En segundo lugar sigo sin entender como es posible que el archivo se ponga con permisos de lectura cuando se supone que dentro esta el usuario y la contraseña de la base de datos ¿no se supone que no deberia poderlo leer nadie?

Lo de ejecutar simplemente no lo entiendo ¿que significa 'ejecutar'?

Y por ultimo el tema del cron... me recomiendas protegerlo, pero... ¿como? ¿con unos permisos especiales?

Gracias por tu ayuda en foros del web.
  #4 (permalink)  
Antiguo 11/12/2013, 06:52
Avatar de MarioAraque
Colaborador
 
Fecha de Ingreso: octubre-2009
Ubicación: Valencia
Mensajes: 1.398
Antigüedad: 15 años, 1 mes
Puntos: 265
Respuesta: Permisos del 'settings.php'

Que lean el settings.php no quiere decir que puedan saber que hay dentro, si no todos los ficheros .php serian vulnerables.

Ejecutar es que alguien ponga tusitio.com/sites/default/settings.php y se ejecute el script. En Drupal eso da un 404 por defecto (si es que pusiste los permisos correctos). Pero si te ponés a analizar, si alguien entra a ese fichero no puede obtener ningun dato, a no ser que vos pongas "echo $userdatabase" (suponiendo que ahi esta el nombre del usuario de la bd), pero como no existe eso, entonces no pasa nada.

Lo que si se ejecuta es el cron.php. Si pones tusitio.com/crop.php, ejecutas el cron, si tenes muchos eventos asociados al cron podes perder rendimiento, pero eso ya depende del sitio.

Cuando instalas un drupal, te pone que cambies los permisos del settings.php para que pueda sacar los datos que pusiste de la BD, pero cuando ya los tiene te pone que cambies los permisos para que nadie mas pueda ingresar a ellos. Aparte si pones 755 o 555 da lo mismo, ya que los permisos publicos solo van a ser de lectura. Y leer no quiere decir que pueden descargar el archivo y leerlo, quiere decir que es un fichero más que publicamente sabes que existe pero privadamente solo Drupal puede ejecutar (por eso el 7).

Saludos.
  #5 (permalink)  
Antiguo 11/12/2013, 07:09
raulfw
Invitado
 
Mensajes: n/a
Puntos:
Respuesta: Permisos del 'settings.php'

Ok, ahora ya lo entiendo mejor. ¿Entonces el riesgo realmente seria que el 'settings.php' se puediera escribir o ejecutar publicamente?

Y lo del cron, ¿no es posible protegerlo entonces?
  #6 (permalink)  
Antiguo 11/12/2013, 07:45
Avatar de MarioAraque
Colaborador
 
Fecha de Ingreso: octubre-2009
Ubicación: Valencia
Mensajes: 1.398
Antigüedad: 15 años, 1 mes
Puntos: 265
Respuesta: Permisos del 'settings.php'

Si, escribir sobre todo, porque si lo escriben te sacan la informacion de tu base de datos y tu drupal seguro es hackeado.

Este modulo te servira seguro: https://drupal.org/project/cron_sec

Saludos.
  #7 (permalink)  
Antiguo 11/12/2013, 08:28
raulfw
Invitado
 
Mensajes: n/a
Puntos:
Respuesta: Permisos del 'settings.php'

Ok. Muchas gracias. De momento no lo voy a instalar, pero lo tendre guardado por si las moscas. Y es que estoy siendo atacado en estos ultimos dias... de ahi mi interes por la seguridad.
  #8 (permalink)  
Antiguo 11/12/2013, 08:33
raulfw
Invitado
 
Mensajes: n/a
Puntos:
Respuesta: Permisos del 'settings.php'

Hace 48h sufri un ataque DoS, y tengo serias sospechas de que actualmente puede haber gente intentando hackearme la web.
  #9 (permalink)  
Antiguo 11/12/2013, 08:39
Avatar de MarioAraque
Colaborador
 
Fecha de Ingreso: octubre-2009
Ubicación: Valencia
Mensajes: 1.398
Antigüedad: 15 años, 1 mes
Puntos: 265
Respuesta: Permisos del 'settings.php'

Fijate si esto te sirve: https://drupal.org/project/tinyids

Y este articulo puede ayudarte también: http://www.zyxware.com/articles/2715...he-load-spikes

Saludos.
  #10 (permalink)  
Antiguo 11/12/2013, 12:16
raulfw
Invitado
 
Mensajes: n/a
Puntos:
Respuesta: Permisos del 'settings.php'

Muchas gracias por la ayuda Mario.

Etiquetas: permisos
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 10:01.