The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"хостинг виртуальных хостов"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"хостинг виртуальных хостов"
Сообщение от sergew emailИскать по авторуВ закладки on 13-Фев-04, 15:33  (MSK)
сайты расположены здесь:
/home/www/site1, site2 ...

скрипты разных пользователей запускаются от имени nobody, под этим же именем работает apache.

проблема вот в чем, пользователь сайта site1.ru может из скрипта на перле запросто открыть файл для чтения любой директории, включая cgi-bin пользователя любого другого сайта, и может листинг просмотреть директорий.

как закрыть эту дыру?
режимы файлов и деректорий настроены в соответствии с ответом на мой вопрос в этой теме:
http://www.opennet.me/openforum/vsluhforumID10/1127.html

Заранее благодарен!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "хостинг виртуальных хостов"
Сообщение от dev emailИскать по авторуВ закладки on 14-Фев-04, 02:41  (MSK)
Продолжаем разговор :)

Скомпиль Апача с поддержкой suexec, потом внутри каждого VirtualHost пишешь    
SuexecUserGroup user1 users

И скрипты данного сайта выполняются от имени указанного пользователя.
Только не забудь прочитать в документации все предупреждения о потенциальных проблемах с безопастностью.

Если такой же вопрос встанет с PHP, то уже хуже. На этом сайте есть статья, как _прикрыть_ дырки, но все это не очень надежно.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "хостинг виртуальных хостов"
Сообщение от sergew emailИскать по авторуВ закладки on 16-Фев-04, 15:11  (MSK)
>Скомпиль Апача с поддержкой suexec

apache -V
Server version: Apache/1.3.26 (Unix) Debian GNU/Linux
Server built:   Jul  4 2002 10:40:55
Server's Module Magic Number: 19990320:13
Server compiled with....
--skip---
-D SUEXEC_BIN="/usr/lib/apache/suexec"
--skip---

Однако при добавлении директивы и перезапуска сервера апач пишет:
Invalid command 'SuexecUserGroup', perhaps mis-spelled or defined by a module not included in the server configuration

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "хостинг виртуальных хостов"
Сообщение от dev emailИскать по авторуВ закладки on 16-Фев-04, 19:47  (MSK)
>Однако при добавлении директивы и перезапуска сервера апач пишет:
>Invalid command 'SuexecUserGroup', perhaps mis-spelled or defined by a module not included
>in the server configuration

Модуль добавить не забыл?
AddModule/LoadModule suexec_module libexec/apache/mod_suexec.so
(ну или как оно у тебя там).

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру