Re: apache2+ikiwiki: проблема с suid wrapper
On 08/16/2012 09:31 AM, Victor Wagner wrote:
> On 2012.08.15 at 21:43:06 +0300, Hleb Valoshka wrote:
>
>
>> On 8/15/12, Hleb Valoshka <375gnu@gmail.com> wrote:
>>
>>> Моя не понимать....
>>>
>> Моя понимать: дурная голова. Сам же в /etc/fstab прописал для /home
>> nosuid "для безопасности".
>>
> Осталось вспомнить, от какой именно угрозы защищался таким способом.
> А то, как известно, защитные меры часто создают свои уязвимости.
> И всегда надо взвешивать, что потенциально опаснее - исходная угроза,
> или защита.
>
> Как раз ограничения на использование suid-бита - это такая мера защиты,
> которая очень часто создает больше угроз, чем устраняет.
>
> И suexec, кстати, тоже. Собственно сама по себе идея suexec - это
> сплошная угроза, так как в большинстве случаев выполнение исполняемого
> файла с правами того, кто может в него писать - угроза (поэтому suid-ные
> экзешники не принадлежащие руту, вроде ikiwiki-вского враппера желательно
> держать с правами 4111 или хотя бы 4575). В основном,
> suexec нужен для shared-хостингов, где у каждого клиента есть ровно один
> пользователь, и задача изоляции пользователей друг от друга важнее, чем
> задача защиты пользовательских скриптов от атак через web.
>
> Поэтому там, где нет толпы хостинговых юзеров, заливающих свои скрипты по
> ftp или через web-панели, suexec стоит отключать.
>
> Я вообще не понимаю, почему в мире web-хостинга не прижилась система
> выделения каждому клиенту двух юзеров - одного, от имени которого
> заливаются файлы, а другого - от имени которого выполняются скрипты.
> Этакого персонального www-data.
>
кстати эта проблема красиво решается для одного юзера с использованием
bindfs -o create-for-user=$user,create-for-group=$group
>
>
Alex
Reply to: