On Tue, 13 Mar 2007 13:53:40 +0200
Sergej Kandyla <_paix@xxxxxxxxxx> wrote:
>
> Добрый день всем!
> Вопросик по безопасности php apache на массовом хостинге.
> пните\покритикуйте пожалуйста в нужную сторону.
>
> Как в apache запретить, чтобы юзера не могли использовать
> директивы Addhandler в .htaccess ? (потенциально уязвимо,
> пользователь может при помощи addhandler указать использование
> своего скрипта запуска php-cgi и выполнить произвольный php скрипт с
> указанием своего конфига, т.е. без path restrictions)
Вообще говоря, сервер должен быть настроен так, чтобы можно было
безопасно выполнять любые CGI скрипты. Используйте suexec. Апач
запускайте в чруте. В чрут лишнего не кладите. Ну и проверьте все права
доступа. Ведь помимо php можно и perl вызвать, и еще что-то.
>
> При использовании phpsuexec как запретить пользователям
> использовать\изменять свои php.ini , или использовать но с без
> возможности перекрытия серверных настроек таких как openbasedir,
> enable_dl, disable_functions и подобных? (запретить использовать свои
> php.ini достаточно просто если не будет возможности использовать
> Addhandler, но быть может существут более красивое решение?)
>
> Есть вариант использовать jail\chroot, но хотелось бы услышать менее
> радикальные меры.
jail и chroot - это не радикальные меры. Ни куда от них не дется, если
хочется безопасный массовый хостинг. У вас клиент может выполнять CGI ?
А может он в качестве CGI положить бинарник и выполнить его ? Если да
(а скорее всего так и есть), то всё равно что будет в настройках PHP.
Тем более, что способы обхода защит в PHP время от времени находят. В
случае массового хостинга стоит исходить из того, что все ограничения,
которые наложены настройками php можно обойти.
>
> Это все касательно
> FreeBSD 6.1, shared hosting. (Apache1 + php/FastCGI + phpsuexec).
> mod_php не рассматриваю как вариант ввиду его очень большой
> дрявости.
>
Рекомендую еще глянуть в сторону suphp
--
Zherdev Anatoly.
