ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: чтение чужих файлов: не стоит патчить



On 29.11.2011 13:40, Dmitry E. Oboukhov wrote:

CGI-скрипты могут быть или вообще запрещены (сейчас не 1993 год уже)
или могут работать с правами пользователя, а не веб-сервера и поэтому
доступа к чужим файлам получить не смогут, ни по симлинку ни напрямую.

и mod-perl запретить. и mod-python и всякие плакхендлеры итп че уж там.

на shared hosting`ах естественно что mod_perl запрещен.
а mod_python - это уже очень давно устаревшая технология.

если кто-то предоставляет такую услугу как mod_perl -
там пользователю выделяется отдельный экземпляр апача.

я говорю о том что не имеет смысла закрывать одну из тысяч дырочек в
решете. если эта проблема насущна, то пользователю shared-хостинга надо
задуматься над собственным хостингом. благо нынче они дешевые

все остальные способы закрыть можно.

нельзя. иначе на этот шаред хостинг никто не пойдет

а пойдут туда, где любой желающий может править их сайт? не верю.

если пользователь сделал 777 на все файлы,
то как ему поможет защита от скачивания через симлинки?

он не сможет изменить права доступа к своему домашнему каталогу,
потому что у него нет права записи в каталог /home, потому что
владельцем каталога /home является root:root, права доступа 0755.

тут тоже ошибочка.

apache:[~]$ ls -ld /home
drwxr-xr-x 7 root root 12288 Июл 29 12:30 /home

apache:[~]$ ls -ld `pwd`
drwxr-xr-x 177 dimka dimka 20480 Ноя 29 15:38 /home/dimka

apache:[~]$ chmod 0700 `pwd`

apache:[~]$ ls -ld `pwd`
drwx------ 177 dimka dimka 20480 Ноя 29 15:38 /home/dimka

apache:[~]$ chmod 0755 `pwd`

apache:[~]$ ls -ld `pwd`
drwxr-xr-x 177 dimka dimka 20480 Ноя 29 15:38 /home/dimka

да, тут я ошибся. но эту уязвимость можно закрыть,
создавая домашний каталог пользователя не в /home,
а в подкаталоге /home, права доступа на который
пользователь уже не сможет изменить самостоятельно,
даже имея доступ к своему домашнему каталогу через ssh.
насколько я помню, на shared hosting`ах именно так и делают,
или каким-то другим способом закрывают эту уязвимость.

--
Best regards,
 Gena

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.