Re: чтение чужих файлов: не стоит патчить
Gena Makhomed
gmm на csdoc.com
Вт Ноя 29 12:17:16 UTC 2011
On 29.11.2011 13:40, Dmitry E. Oboukhov wrote:
>> CGI-скрипты могут быть или вообще запрещены (сейчас не 1993 год уже)
>> или могут работать с правами пользователя, а не веб-сервера и поэтому
>> доступа к чужим файлам получить не смогут, ни по симлинку ни напрямую.
> и mod-perl запретить. и mod-python и всякие плакхендлеры итп че уж там.
на shared hosting`ах естественно что mod_perl запрещен.
а mod_python - это уже очень давно устаревшая технология.
если кто-то предоставляет такую услугу как mod_perl -
там пользователю выделяется отдельный экземпляр апача.
>>> я говорю о том что не имеет смысла закрывать одну из тысяч дырочек в
>>> решете. если эта проблема насущна, то пользователю shared-хостинга надо
>>> задуматься над собственным хостингом. благо нынче они дешевые
>> все остальные способы закрыть можно.
> нельзя. иначе на этот шаред хостинг никто не пойдет
а пойдут туда, где любой желающий может править их сайт? не верю.
>>> если пользователь сделал 777 на все файлы,
>>> то как ему поможет защита от скачивания через симлинки?
>> он не сможет изменить права доступа к своему домашнему каталогу,
>> потому что у него нет права записи в каталог /home, потому что
>> владельцем каталога /home является root:root, права доступа 0755.
> тут тоже ошибочка.
> apache:[~]$ ls -ld /home
> drwxr-xr-x 7 root root 12288 Июл 29 12:30 /home
>
> apache:[~]$ ls -ld `pwd`
> drwxr-xr-x 177 dimka dimka 20480 Ноя 29 15:38 /home/dimka
>
> apache:[~]$ chmod 0700 `pwd`
>
> apache:[~]$ ls -ld `pwd`
> drwx------ 177 dimka dimka 20480 Ноя 29 15:38 /home/dimka
>
> apache:[~]$ chmod 0755 `pwd`
>
> apache:[~]$ ls -ld `pwd`
> drwxr-xr-x 177 dimka dimka 20480 Ноя 29 15:38 /home/dimka
да, тут я ошибся. но эту уязвимость можно закрыть,
создавая домашний каталог пользователя не в /home,
а в подкаталоге /home, права доступа на который
пользователь уже не сможет изменить самостоятельно,
даже имея доступ к своему домашнему каталогу через ssh.
насколько я помню, на shared hosting`ах именно так и делают,
или каким-то другим способом закрывают эту уязвимость.
--
Best regards,
Gena
Подробная информация о списке рассылки nginx-ru