← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #43428

Re: PHP gennem suEXEC på Apache?

  Thread PreviousDate PreviousThread Next 
Morten Egelund Rasmussen wrote:
> 
> Poul-Erik skrev:
> 
> > Morten Egelund Rasmussen wrote:
> > >
> >
> > > Idéen er fin, men der er jo fortsat en masse sikkerhedshuller i PHP.
> > > (F.eks. backticks.)
> >
> > Hvad er backticks
> 
> I PHP kan man f.eks. skrive linien:
> 
>   $bruger = `whoami`;
> 
> Dette vil lægge output af systemkommandoen "whoami" ind i variablen
> $bruger. Resultatet bliver selvfølgelig et brugernavn ("apache",
> "nobody", eller hvad man nu kører Apache som).

Det er noget snavs, det burde kunne slås fra. 
Hvad det også er i safe mode

> > > Anyway: Jeg er faktisk kommet så langt, at jeg kan få PHP-scripts
> til at
> > > køre som CGI gennem suEXEC uden shebang. (Det krævede godt nok lige
> at
> > > man modificerede kildekoden til suEXEC!!!!! GNÆK!) Nu kører PHP som
> den
> > > bruger som oprettede scriptet. :-)
> >
> > At køre gennem CGI er generelt mere sikkert men det er på
> > bekostning af performance, hvis det skal være PHP.
> 
> Nu bliver jeg jo helt glad... :-)

Har du foresten kigget i den annoterede manual. Der er en masse
interessandte komentarer se

 
http://dk.php.net/manual/en/security.php#security.cgi
 
kig især på afsnitte om CGI og --enable-force-cgi-redirect


> > > Jaeh.... Men det betyder også at man som kunde på et webhotel har
> fri
> > > adgang til at se kildekode ovre hos naboen. 

Det grundlæggende problem er at webhotteller er noget snavs.
Sikkerhed omkring computernetværk er i høj grad basseret på at
der er tillid på den indvendige side. Alle kunder vil være at
betragte som den invendige side.

Selv om f.eks Linux er et flerbruger system og almindelige users
ikke har adgang til vigtige ting, vil en cracker med en user
acces sikkert hurtigt kunne skaffe sig root access.  

(Password til hans
> > > mySQL-kundedatabase må der jo nødvendigvis også stå et eller andet
> sted
> > > i hans scripts!) -- Et eller andet sted, så mener jeg at det er dybt
> > > kritisabelt at der ikke er mere fokus på dette. (Gad vide hvad
> > > ComputerWorld ville sige til en lille "webhotel hacking how-to"?) --
> Så
> > > kom der måske lidt gang i systemadministratorerne rundt omkring?!
> Jeg
> > > skal bare lige selv have styr på det først, så kan man vel altid
> udråbe
> > > sig selv til freelance-konsulent! ;-p (LOL)
> >

Det hjælper ikke noget, gang på gang er der EDB eksperter der
udtaler sig offentlig om deverse systemeres sårbarhed, uden at
det har den ringeste effect. 

Det tragikomiske er at man kan rundt omkring på nettet se
Webhoteludbydere omtalt som dårlige fordi de ikke tilbyder perl
eller php uden at ville gennese folks scipting(mod betaling
selvfølgelig sikkerhed er dyrt)  

> Det er bestemt en mulighed. Jeg tror bare ikke at det er så let at styre
> i praksis. Det bedste er naturligvis, hvis de enkelte brugere kun kan få
> adgang til deres respektive områder. (Her kan man komme rigtig langt med
> direktiverne "User" og "Group" sammenholdt med <VirtualHost> i
> forbindelse med opsætningen af Apache.)

Nej det er ikke let at styre, men er der nogen der har sagt at
det skal være det. Nå, du kan jo bare anskaffe dig en IBM/390 og
sætte virtuelle Linux servere op til dine kunder;-P. 

-- 
-
Poul-Erik Andreasen
Hvis du mangler nogen til noget eller du kan noget for nogen.
http://linux-freelance.pea.dk

References

  Thread PreviousDate PreviousThread Next