Cron Schlüssel?
Eingetragen von ronald (3857)am 28.12.2011 - 13:44 Uhr in
Warum darf jeder Idiot einen Cronlauf veranlassen, aber mein eigener Cronjob nicht?
Ich habe einige Angriffsversuche auf meiner Site, die ich gerade im Test habe.
Weil sie noch im Testbetrieb lief, habe ich Cron noch nicht eingebunden.
Ich habe mehrere Direktaufrufe (bzw. Versuche) von Nodes und Users und es versuchen sich immer wieder User zu registrieren umd anschließend gleich Zugriff zu bekommen.
Diese starten offenbar als Gast auch Cron.
Jetzt habe ich Cron.php in die Crontab des Servers eingetragen. Pünktlich zum geplanten Zeitpunkt kommt nun: "Cron konnte nicht ausgeführt werden, weil ein falscher Schlüssel angegeben wurde."
Wenn es einen solchen Schutz mit Schlüssel gibt, warum kann ein beliebiger Gast dann Cron starten?
- Anmelden oder Registrieren um Kommentare zu schreiben
[erledigt]
am 28.12.2011 - 23:00 Uhr
Ich habe den Schlüssel gefunden.
Es wäre aber vorteilhaft, wenn dieser auch bei der Manuellen Ausführung erforderlich wäre und nur bei einer Anmeldung als Admin durchgereicht würde.
Ist er doch. Was ist
am 29.12.2011 - 00:42 Uhr
Ist er doch. Was ist eigentlich dein Problem?
Das Problem ist
am 29.12.2011 - 09:27 Uhr
jeder Gast kann per Deeplink Cron ausführen.
Für einen Cronjob auf dem Server muss aber ein Schlüssel übergeben werden.
Ich finde das mit dem Schlüssel gut. Es nutzt nur nicht, wenn jeder Idiot von außen Cron ausführen kann, ohne sich vorher als Admin authentifiziert zu haben.
Das ursprüngliche Problem war, dass ich den Schlüssel nicht gleicht gefunden hatte, weshalb mein Cronjob nicht lief. Dieser steht aber in der Statusseite.
ronald schrieb jeder Gast
am 29.12.2011 - 11:54 Uhr
jeder Gast kann per Deeplink Cron ausführen.
Für einen Cronjob auf dem Server muss aber ein Schlüssel übergeben werden.
Ja eben. Also kann es eben nicht jeder Gast. Was soll also diese sinnlose Diskussion?
weil es offenbar jeder Gast kann
am 29.12.2011 - 12:40 Uhr
Ich habe reichlich solche Einträge im Log.
Wie kann ich verhindern, dass jemand ohne Adminrechte und ohne den Schlüssel, cron ausführen kann?
In was für einem Log??
am 29.12.2011 - 13:08 Uhr
In was für einem Log??
Berichte - Aktuelle Protokollnachrichten
am 29.12.2011 - 13:17 Uhr
dort steht eine Liste aller Aktivitäten.
Z.B. auch, dass ein Gastuser versucht hat bstimmte Daten abzurufen und den cron ausgeführt hat.
Mit deinem Key?
am 29.12.2011 - 13:32 Uhr
Mit deinem Key?
eher ohne
am 29.12.2011 - 13:46 Uhr
wie sollte der Gast an den Key kommen?
Das wird offenbar über einen Deeplink ausgelöst.
Ich kann es nicht nachvollziehen. Das ist das ärgerliche daran.
Aber seit ich nun den cron regulär eingerichtet habe und dieser jede Stunde läuft, gibt es keine solchen Einträge mehr.
Ich sehe dies nun ersteinmal als erledigt an.
ronald schriebwie sollte der
am 29.12.2011 - 14:09 Uhr
wie sollte der Gast an den Key kommen?
Ja eben, also zum 100. Mal: Was ist dann dein Problem?
Das wird offenbar über einen Deeplink ausgelöst.
Was bitte soll das nun wieder heissen?
cron.php ist eine PHP-Datei, die jeder aufrufen kann. Bei Drupal 7 prüft cron.php aber, ob der richtige Key mitgeliefert wird. Wenn nicht, beendet sich das PHP-Skript gleich wieder. Es ist also völlig irrelevant, ob irgendjemand einfach cron.php aufruft.
Aber seit ich nun den cron regulär eingerichtet habe und dieser jede Stunde läuft, gibt es keine solchen Einträge mehr.
OMG. Mach mal bitte ein Rhetorik-Seminar mit und lerne, dich klar auszudrücken.