Forum Debian Users Gang

TBH · 2007-09-07 23:30:40

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

... mądrości TBH oraz jak zdezorientowałem Azhaga oraz dlaczego Biexi nie odpisuje na gg :)

zaczne od początku :]
jezeli nasz serwer http dziala z prawami www-data, co najczesciej robi apache i lighthttp to kazdy skrypt odpalany przez niego, np skrypt PHP ma takze prawa www-data
co doskonale obrazuje użycie r57shell . pokazuje nam UID i GID www-data. Dobrze.

jeżeli użytkownik A posiada forum, które ma konfiguracje w pliku /forum/Settings.php to żeby forum moglo dzialac, apache musi miec dostep do odczytania tego pliku. nie ma innej mozliwosci
jezeli jednak użytkownik B wie o tym pliku, to wrzuca sobie wspomniany wyżej r57shell , lub po prostu używa fopen() na tym pliku. Skrypt używający fopen ma prawa www-data. www-data ma dostep do pliku Settings.php uzytkownik B dostaje dostep do hasel do forum uzytkownika A.

powiedziałbym ze k.wsko źle ;]

pewien anonimowy znajomy używa 711 chmod na /home/user

i to rozwiazanie domyslnie stosuje kazdy user Debian/Gentoo/PLD
(te sprawdzilem)
co jest do dupy z tego co wykazałem wyżej

idąc tym tropem , użyłem PHP jako CGI i na to mod suEXEC, zeby skrypty CGI były odpalone z prawami wlasciciela tego pliku. Dzieki temu pliki uzytkownika A beda dla B gdyz, jak wykazuje r57 UID i GID = B... a nie www-data. a B do plików A dostepu nie ma.

dobre? TYLKO W TEORII
gdyż przy domyslnych ustwaieniach jedynie pliki w katalogu /var/www/ moga byc wykonywane... np taki phpmyadmin już nie

przyczyna? polozenie phpmyadmin poza /var/www/

trzeba wiec ustawic zmienną doc_root w php.ini
jednak, poszukując w necie opisu NIE znalazlem przykladu stosowowania doc_root w systemie innym niz windows co prowadzi do prostego wniosku:

Wasze prywatne hostingi są całkowicie niezabezpieczone.

tyle, dziekuje za uwagę.

~~ TBH
Shikaka Security Team
Damned Angels Group

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: http://firegpg.tuxfamily.org

iD8DBQFG4cOk7tyJ7YiisagRAgO+AJ9qQ844dpvnGJBpGhmsE4CBA2KyKACgvH3I
N2MhaynYOwo/PciuZo7NVqM=
=7sht
-----END PGP SIGNATURE-----

interpositus · 2007-09-08 07:46:46

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Czyli debian nie jest dobry na hosting? Bo z tego wynika że nie jest bezpieczny. Trzeba znaleźć sposób zabezpieczenia tego.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: http://firegpg.tuxfamily.org

iD8DBQFG4jdgrQ+y9iio8RcRAqQnAJ4rn4GD9Vu0yOwVD6JK3S2bMgMsIQCg195+
J7pw2+gJ2nULJv+zv3qBXI8=
=hXqS
-----END PGP SIGNATURE-----

TBH · 2007-09-08 08:53:09

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Debian jest dobry na hosting, to wina PHP i kompilacji pakietów.

jeżeli sam skompilujesz sobie PHP z force_Redirect to wszystko bedzie ok. w Debianie mozesz to zrobic i moim zdaniem nie ma lepszego distro na serwer hostingu.

Nie tego chcialem dowieść :)

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: http://firegpg.tuxfamily.org

iD8DBQFG4keH7tyJ7YiisagRAlwzAKDp0iQYU7UG4EkxNEwcGNqZBoCzBwCcDcyK
EejkrPkjJSLhlC+2vUG4CkA=
=SWq7
-----END PGP SIGNATURE-----

Forum Debian Users Gang

Ogłoszenie

#1 2007-09-07 23:30:40

TBH - Członek DUG

lekkomyślne podejście do sprawy bezpieczeństwa z PHP...

#2 2007-09-08 07:46:46

interpositus - Członek DUG

Re: lekkomyślne podejście do sprawy bezpieczeństwa z PHP...

#3 2007-09-08 08:53:09

TBH - Członek DUG

Re: lekkomyślne podejście do sprawy bezpieczeństwa z PHP...

Stopka forum