Re: public_html
On Sat, Aug 30, 2003 at 12:22:48AM +0200, Tomasz P. Kotecki wrote:
> W liście z pią, 29-08-2003, godz. 23:13, Wojciech Kuranowski pisze:
> > Hmmm.... SOA#1
> >
> > mkdir xxx
> > chown owner:users xxx
> > chmod 705 xxx
> >
> > i nikt z grupy users nie dostanie sie do tego, oprocz ownera. tak samo z
> > plikami, tylko, ze daj prawa 604. apache dziala domyslnie w debianie
> > jako www-data, wiec zalicza sie do others i ma dostep do tych plikow.
> > to musi dzialac:)
> >
> > dla /home/user mozesz dac 701
> > dla public_html i innych katalogow - 705
> > dla plikow w public_html - 604
> >
> > wrzuc tylko userow do tej samej grupy.
> >
> > i daj:
> > cd /home/user/public_html
> > chown -R owner:users .
>
> no ladnie. rzeczywiscie, jest to 'metoda... najdoskonalsza' :) jeszcze
> pytanko dotyczace bezpieczenstwa: czy istnieje mozliwosc (draze temat z
> ciekawosci, bo jesli chodzi o bezpieczenstwo to lamer ze mnie), ze ktos
> sie podszyje pod nie-usera? tzn. jakies bugi w oprogramowaniu sie
> zdarzaja tego typu, ze mozna buszowac np. jako www-data?
apache, czyli uzytkownik www-data, potrafi dostac sie wszedzie do
public_html. wszystkie skrypty php dzialaja z uprawnieniami www-data,
wiec tez beda mogly dostac sie do kazego public_htmla.
proponuje ci zdjac atrybuty read z wszystkich katalogow, lacznie z
public_html. czyli ustawiasz 701.
teraz nawet ktos o uprawnieniach www-data, albo innych zobaczy pustke
w tych katalogach. trzeba znac dokladna nazwe pliku,zeby cokolwiek
odczytac. nie dotyczy, grupy users, bo oni nic nie moga zrobic, oprocz
ownera. oczywiscie pierwszy strzal to index.php lub podobny:) cudzy
skrypt php moze zajrzec do twojego home i odczytac z index.php pare
rzeczy.
pozostaje odpalanie skryptow php z prawami uzytkownika - ownera skryptow,
a nie www-data. jak to zrobic? httpd.apache.org - poczytaj doki:)
Pozdrawiam.
Reply to: