ImageMagickin käyttö SpeedZone-hallinnoidulla palvelimella on helppo, mutta seuraavaan kannattaa kiinnittää huomiota.
Tämä ei ole SpeedZonen tekemä muutos, vaan muutos ImageMagickin omassa toiminnassa. Tiedostojen lukeminen URL-osoitteesta on aina ollut poistettu käytöstä ImageMagickin oletusarvoisen suojauskäytännön mukaan, mutta ohjelmistovirheen vuoksi tätä rajoitusta ei sovellettu kaikissa mahdollisissa käyttötapauksissa. ImageMagickin versiossa 7.1.2-9 tämä tietoturvaongelma korjattiin hiljaisella koodimuutoksella, mikä aiheutti ongelmia joillekin käyttäjille, jotka käyttivät koodekkeja, joihin suojauskäytäntöä ei ollut sovellettu aiemmissa versioissa. Koska globaalin määrityksen muuttaminen aiheuttaisi kaikille entistä suuremman tietoturvariskin, ainoa ratkaisu on lieventää turvakäytäntöä harkiten käyttäjän oman virtuaalipalvelimen ympäristössä.
ImageMagick on tehokas työkalu kuvatiedostojen käsittelyyn, mutta sen tehon ja monimutkaisuuden mukana tulee myös mahdollisia tietoturvariskejä. Näiden riskien vähentämiseksi ImageMagick käyttää määritystiedostossa määriteltyä turvakäytäntöä. Tämä käytäntö asettaa rajoituksia muistin käytölle ja tiedostokoolle, määrittelee, mitä tiedostoja voidaan avata ja mistä, sekä soveltaa muita tietoturvarajoituksia.
ImageMagickin käyttö SpeedZone-hallinnoidulla palvelimella on asennettu käyttäen ohjelmiston mukana toimitettua ”limited”-turvakäytäntöön perustuvaa määritystä.
Joissain tapauksissa voi olla tarpeen lieventää tiettyjä sääntöjä, ja tämä voidaan tehdä käyttäjäkohtaisessa ympäristössä.
Huomioithan kuitenkin, että:
-
kaikkia asetuksia ei voida ohittaa käyttäjän toimesta, ja säännöt voivat muuttua ajan myötä
-
joitakin asetuksia voidaan muokata asentamalla minimaalinen käyttäjäkohtainen määrityskonfiguraatio
magick: attempt to perform an operation not allowed by the security policy `URL'
Tämän yksittäisen rajoituksen kiertämiseksi virtuaalipalvelimen käyttäjän tarvitsee luoda kotihakemistoonsa tiedosto ~/.config/ImageMagick/policy.xml, jonka sisältö on seuraava:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE policymap [ <!ELEMENT policymap (policy)*> <!ATTLIST policymap xmlns CDATA #FIXED ''> <!ELEMENT policy EMPTY> <!ATTLIST policy xmlns CDATA #FIXED '' domain NMTOKEN #REQUIRED name NMTOKEN #IMPLIED pattern CDATA #IMPLIED rights NMTOKEN #IMPLIED stealth NMTOKEN #IMPLIED value CDATA #IMPLIED> ]> <policymap> <policy domain="module" rights="read|write" pattern="URL"/> </policymap>
- Joidenkin sääntöjen lieventäminen ei ole mahdollista, jos järjestelmän määritykset on jo ladattu, sillä ne luetaan oletuksena ensin. Tämä voidaan ohittaa muuttamalla ImageMagickin määritysten latausjärjestystä ympäristömuuttujan
MAGICK_CONFIGURE_PATHavulla siten, että käyttäjän omat määritykset ladataan ensin:MAGICK_CONFIGURE_PATH="$HOME/.config/ImageMagick:/usr/share/ImageMagick-7"
Aiemmin tehty käytäntömuutos tulee voimaan 5 minuutin kuluessa seuraavan komennon suorittamisesta:
touch ~/domeenid/*/phpini/global/php.ini