Otazka ohledne httpd
David Kostal
kron na informatics.muni.cz
Pátek Listopad 28 14:15:03 CET 1997
Leos Bitto wrote:
[smik]
> > > drwx---r-x uzivatel users
[smik]
> > drwxr-x--- uzivatel httpd
[smik]
> Jakube, tohle ti muze fungovat na sunsite, kde nejsou, no rekneme zvidavi,
> uzivatele. Ale na normalnim stroji driv nebo pozdeji nekoho napadne chgrp
> mojegrupa ~/public_html eventualne rm -rf ~/public_html; mkdir
> ~/public_html. A trapdoor sklapnul a nasleduje mail spravci. Az jich
> obdrzis par desitek tak prijdes na to ze to prvni reseni je lepsi. Ja ho
> pouzivam na firemnim WWW serveru uz asi rok a funguje uplne v pohode.
> (Linux+Apache, of course :-) ) A je tam pekna radka uzivatelu.
Ale panove :-)
Myslim ze s uspechem muzu predpokladat, ze na www serveru jsou
povoleny cgi skripty. No a pak uz staci dat do cgi skriptu ls -la
/home/jiny_uzivatel/public_html a zase zjistim, co tam vsechno je.
Takze castecne by pomohlo odebrat prava r pro ostatni (v prvnim
pripade) nebo pro skupinu (v druhem pripade), ale (jak uz bylo psano)
v dalsich podadresarich uz (obvykle) zadna omezeni nebudou.
Hm, nehlede na to, ze normalni uzivatel chgrp httpd adresar neudela,
pokud neni ve skupine httpd. A pokud tam jsou vsichni...
No takze uplne nejlepsi reseni je http dotaz na uzivatelsky adresar
chroot()-nout, aby z nej nikdo nemohl vylezt.
Nebo dotaz do uzivatelskeho adresare setuid()-nout a na public_html
mit prava jen pro sebe.
Ale to ma zase spousty dalsich nevyhod.
Doufam, ze jsem vas nerozlobil, ale potesil. Ocekavam bourlivou
diskuzi na tema co je _uplne_ nejlepsi, ale tu uz prosim soukrome :)
Jo, adeltone, a bez pripominek, ze kdyby existoval jen perl, tak by
svet by jednodussi ;-)
david kostal (kron na fi.muni.cz)
----+
P.S. Prosim omluvite ja ubohy cestina.
Další informace o konferenci Linux