Zameneni spousteni z scriptu z PHP

[ph na rook.cz]

> Zdenek Lukes wrote:
> 
>>Dobry den,
>>
>>mam takovy problem s php na linuxu. Potreboval bych nejak zamezit, aby z adresaru /tmp neslo spuostet zadne prikazy pomoci fce system, exec, atd....
>>Ale z jinych casti disku chci mit moznost pouzivat fce system, exec, atd...
>>
>>Muzete mi nekdo poradit jak toto nejlepe nastavit ci alespon omezit sousteni prikazu z adresare /tmp.
> 
> 
> Mountovat /tmp svazek s option noexec?
> 
> --HH

   Stojí ale za to dodat, že to znamená jen ztížení spuštění kódu, ne jeho
stoprocentní zamezení - aplikace si vždycky může kód natáhnout sama, případně
přeinterpretovat ELFí hlavičku a jumpnout na něj.
   Navíc fíčura glibcího ld.so to usnadňuje:

$ cp /bin/ls /tmp
$ chmod -x /tmp/ls

$ /tmp/ls
bash: /tmp/ls: Přístup odmítnut

$ /lib/ld-2.3.5.so /tmp/ls
gconfd-ph
ls
mapping-ph
orbit-ph
...


-- 
                                                         ,-._,--..__,.-'
                                                         | Pavel Kácha
                                                         |  ph na rook.cz
                                                         `-._,--.