Pfade verbergen...

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Pfade verbergen...

    Hallo!

    Ich brauch mal ein paar Denkhilfen von euch, vermute mal, ich steck da schon zu tief drin und kann nicht mehr klar denken

    Folgendes Problem: Ich habe einen Server aufgesetzt, auf dem die neu Intranetseite liegt. Nun wollen aber sehr viele Zugriff auf bestimmte Verzeichnisse haben, die als Dateiauflistung im Intranet präsentiert werden. Nun verhält es sich so, dass die Ordner, die im Intranet dargestellt werden sollen auf einem anderen Server leigen, wo sie auch aufgrund der bereits vorhadenen Berechtigungen bleiben sollen. Um nun ein Verzeichnisview schön darstellen zu können, hab ich dieses Serverlaufwerk in meinem Webserer bzw. auf meinem Webserver gemountet. Um nun die Dateien auch über den Browser auswählen zu können, wurde ein virtueller Server auf Port 81 angelegt mit dem Mountverzeichnis als Hauptverzeichnis. Soweit so gut, kann nun also die Dateien auslesen (über PHP) und die Berechtigungne über LDAP steuern. Klingt gut, aber wenn nun einer daher kommt und einfach die Seite mit Port 81 anwählt, ohne eine PHP Seite anzuwählen, so würde er die komplette LDAP Abfrage umgehen und die Dateien wärten offen wie ein Scheunentor... Was kann ich dagegen tun? Gibts vielleicht ne Möglichkeit, dass die Dateien in ein Temp Verzeichnis zwischen kopiert werden, dass niemand den Port 81 entdeckt? Oder irgendwas anderes??? Dreh mich nur noch im Kreis, Hilfe wäre SUPER!!!!!

    Gruß

    Jan

  • #2
    Re: Pfade verbergen...

    Original geschrieben von fauleSocke
    Soweit so gut, kann nun also die Dateien auslesen (über PHP) und die Berechtigungne über LDAP steuern. Klingt gut, aber wenn nun einer daher kommt und einfach die Seite mit Port 81 anwählt, ohne eine PHP Seite anzuwählen, so würde er die komplette LDAP Abfrage umgehen und die Dateien wärten offen wie ein Scheunentor...
    Nutze den offensichtlichen Unterschied zwischen den Anfragen deines PHP-Scripts und denen eines Webusers: Richte den Dateiserver so ein, dass er nur Anfragen von dem Server zuläßt, auf dem die PHP-Scripte liegen. Falls das nicht schon der Fall ist, mußt du die Ausgaben des Dateiservers von deinen Scripten durchschleifen lassen, dabei ggf. alle Links umschreiben etc.

    Kommentar


    • #3
      Klingt gut... kleines Problem dabei, die Leute ahaben ja zum Teil auch schreibrechte auf die Verzeichnisse. d.h. Das Laufwerk ist bei denen gemappt und die schieben da Dateien rein und raus (je nach Berechtigung) diese Berechtigung haben aber nicht alle. Wenn ich jetzt den Dateiserver so einrichte, würden dann die User da noch dateien hinterlegen können?

      Kommentar


      • #4
        Hä? Ich dachte, du hast einen Fileserver, an dem sich überhaupt nichts geändert hat und die Leute ihre Files wie bisher übers FS lesen und schreiben.
        Dazu kommt nun noch ein Webserver, der die Dateien ausliefern soll. Dazu hängst du den Fileserver ins FS des Webservers ein und zielst mit einem VHost auf den Mountpoint.

        Sollte ich dich falsch verstanden haben, erkläre es bitte noch einmal ausführlich.
        Habe ich dich richtig verstanden, brauchst du dir ums Schreiben keine Gedanken machen - das wird schließlich bestimmt nicht über HTTP gemacht und somit ist es nicht Sache des Webservers.

        Kommentar


        • #5
          Also, wenn ich dich richtig verstanden habe, hast du micht richtig verstanden... Mir geht es darum: Konstrukion mit FS etc. ist so, wie du es verstanden hast.
          Nun kommt Herr X, der hat Berechtigung für Datei 1, 2, 3. Diese sieht er auch, wenn er über sein gemapptes Verzeichnis auf die Dateien schaut, oder wenn er nun über die Intranetseite geht, wird die Berechtigung über LDAP abgefragt und er sieht nur 1, 2 und 3. Wenn er nun aber, statt über den Browser direkt den gemountet Server anspricht (ohne aufruf einer PHP Datei), so sieht er nicht nur daten 1,2,3 sondern auch 4,5,6 etc. Weil der User hiermit die Abfrage des LDAPS umgehen würde...

          Daher die Frage, wenn er diesen Mountpoint mit dem Port überhaupt nicht kennt, kommt er da auch nicht hin. War zumindest meine Überlegung, die Datei beim anschauen in ein Temp Verzeichnis zu verschieben wo sie auch dgedownloadet wird... wenn das geht...

          Verstehst jetzt ungefähr????

          Kommentar


          • #6
            Ok, ich hatte es richtig interpretiert.

            Vorweg etwas generelles: Ich würde die Daten aktiv absichern, statt nur darauf zu setzen, dass sowieso keiner rankommt, weil niemand die Adresse kennt! Irgendwann wird jedes "geheime Plätzchen" mal gefunden, erst recht in einem Intranet.

            Zum Problem:
            Wenn er nun aber, statt über den Browser direkt den gemountet Server anspricht (ohne aufruf einer PHP Datei), so sieht er nicht nur daten 1,2,3 sondern auch 4,5,6 etc. Weil der User hiermit die Abfrage des LDAPS umgehen würde...
            Nein, er würde gar nichts sehen, denn der Server, auf dem die Dateien liegen, reagiert nur auf Anfragen vom Webserver. Darum gehts ja!

            Kommentar


            • #7
              ok, danke erstmal, werd mal versuchen das so einzustellen...

              Kommentar

              Lädt...
              X