Re: apache2+ikiwiki: проблема с suid wrapper
On 08/16/2012 12:06 PM, Victor Wagner wrote:
> On 2012.08.16 at 11:26:20 +0200, Alex Mestiashvili wrote:
>
>
>> например:
>> есть сайт который крутится под suphp и скрипты запускаются от юзера xxx.
>>
>> к этому сайту прикручен webdav через который можно редактировать скрипты.
>> для того чтобы скрипты допустим в /var/www/xxx c ownership xxx были
>> видны как www-data для вебдав
>> cоздаем еще одну директорию /var/www/xxx_dav которую монтируем следуюшим
>> образом:
>> bindfs -o create-for-user=xxx,create-for-group=xxx -u www-data -g
>> www-data /var/www/xxx /var/www/xxx_dav
>> теперь все файлы в /var/www/xxx_dav видны как www-data и их можно
>> редактировать, создавать новые и т.д. ,
>> при этом в /var/www/xxx файлы видны как созданые от xxx.
>> собственно через webdav вы редактируете файлы в /var/www/xxx_dav , а
>> скрипты запускаются веб сервером в /var/www/xxx .
>>
>
> 1. Вопрос в том, что является в системе более дефицитым
> ресурсом - user_id или количество смонтированных файловых систем.
>
>
ни то ни другое, даже в случае с fuse bindfs.
> 2. Типичная security by obscurity. Здесь для того чтобы взломать сайт
> через дырку в скрипте, нужно всего лишь знать, где именно в файловой
> системе лежит rw-копия скрипта.
>
> Ну либо надо скрипты в chroot запускать, чтобы доступа к rw-копиям себя
> у них не было в принципе. А системный вызов chroot работает только от
> рута, да и cgi-environment переписывать придется. В общем - куча новых
> security implications.
>
>
>
это уже другой разговор, я вам предложил вариант решения проблемы с
двумя юзерами,
а вот приемлем ли он или нет, а также дальнейшая имплементация это ваше
дело.
Alex
Reply to: