Вопросы Теги

Сервер DHCP с несколькими объемами выпускает неправильного дюйм/с к VLAN

Это - то, что я сделал:

  1. показанные user_name:www-данные website_dir
  2. chmod g+s website_dir # это делает новые файлы/каталоги в том каталоге принадлежавшими www-пользователю-данных (типичный пользователь веб-сервера Debian)
  3. Затем к любому созданному пользователями файлу, это читаемо группой, может получить доступ веб-сервер, и пользователь может сделать chmod g+w, если они хотят, чтобы каталог/файл был также перезаписываем веб-сервером (как конфигурации/загрузка и т.д.)

Оборотная сторона этого - то, что пользовательские www-данные выполняют все документы на получение, таким образом, пользователь может добраться, другие пользовательские данные с помощью php/ruby/perl/whatever выполняются на веб-сервере.

Следующий шаг использовал бы что-то как mod_suphp или mod_suexec для выполнения пользовательских документов на получение с privledges того пользователя.

0
задан 1 June 2013 в 07:24
1 ответ

Боюсь, что мой вопрос и комментарий Стемена, приведенный выше, в значительной степени резюмируют это, но я подумал, что все равно объясню это: VLAN - это не то же самое, что подсети . Прежде чем какое-либо новое устройство получит IP-адрес, ни оно, ни сеть, ни DHCP-сервер не знают, в какой подсети, по вашему плану, оно должно закончиться, поэтому устройство просто выполняет универсальную широковещательную рассылку DHCP и удовлетворяется Диапазон «по умолчанию» DHCP-сервера, который выглядит как 10,253 / 16.

У вас есть два варианта:

  1. Вы можете физически и логически перенастроить свою сеть, при условии, что у вас есть управляемая инфраструктура коммутатора с VLAN. Это вводит логическое разделение между сетевыми портами, которые используются устройствами в беспроводной подсети, теми, которые находятся в подсети VLAN, и теми, что находятся в подсети рабочего стола. DHCP-серверу необходимо будет сообщить о виртуальных локальных сетях, и для каждой из них потребуется отдельное логическое сетевое устройство; коммутатор должен будет разрешить тегирование пакетов от DHCP-сервера в соответствии с тем, в какой VLAN они находятся. Вам нужно будет хорошо знать инфраструктуру коммутатора и прочитать о VLAN и тегах 802.1q , если вы хотите это сделать.
  2. Вы можете настроить DHCP-сервер со списком MAC-адресов, специфичных для каждой подсети, а затем, когда устройство, которое, как было указано серверу, должно находиться в определенной подсети, появится, оно предлагается аренда DHCP из соответствующего пула вместо пула по умолчанию.

Ни один из этих вариантов не требует обслуживания, но я считаю, что (1) требует больших усилий заранее, а (2) требует значительных усилий. продолжающихся усилий, по мере того, как новые устройства приходят и уходят из вашей сети.

Edit : HorusKol, я понимаю вашу точку зрения в комментарии ниже: но обратите внимание, что диапазон VPN сейчас является значением по умолчанию, так что вы все равно можете выбрать вариант (2 ) до тех пор, пока вы можете перечислить все хосты на рабочем столе и в беспроводных подсетях. Всем остальным устройствам можно оставить свои адреса из пула VPN по умолчанию.

2
ответ дан 4 December 2019 в 14:12

Теги

Похожие вопросы