Re: apache2+ikiwiki: проблема с suid wrapper
On 2012.08.15 at 21:43:06 +0300, Hleb Valoshka wrote:
> On 8/15/12, Hleb Valoshka <375gnu@gmail.com> wrote:
> > Моя не понимать....
>
> Моя понимать: дурная голова. Сам же в /etc/fstab прописал для /home
> nosuid "для безопасности".
Осталось вспомнить, от какой именно угрозы защищался таким способом.
А то, как известно, защитные меры часто создают свои уязвимости.
И всегда надо взвешивать, что потенциально опаснее - исходная угроза,
или защита.
Как раз ограничения на использование suid-бита - это такая мера защиты,
которая очень часто создает больше угроз, чем устраняет.
И suexec, кстати, тоже. Собственно сама по себе идея suexec - это
сплошная угроза, так как в большинстве случаев выполнение исполняемого
файла с правами того, кто может в него писать - угроза (поэтому suid-ные
экзешники не принадлежащие руту, вроде ikiwiki-вского враппера желательно
держать с правами 4111 или хотя бы 4575). В основном,
suexec нужен для shared-хостингов, где у каждого клиента есть ровно один
пользователь, и задача изоляции пользователей друг от друга важнее, чем
задача защиты пользовательских скриптов от атак через web.
Поэтому там, где нет толпы хостинговых юзеров, заливающих свои скрипты по
ftp или через web-панели, suexec стоит отключать.
Я вообще не понимаю, почему в мире web-хостинга не прижилась система
выделения каждому клиенту двух юзеров - одного, от имени которого
заливаются файлы, а другого - от имени которого выполняются скрипты.
Этакого персонального www-data.
Reply to: