[linux] PHP vs. suExec
M.F. PSIkappa
psi na platon.atlantis.sk
Úterý Květen 22 22:01:01 CEST 2001
Zdravim,
bol o tom thread v security mailling liste na underground.cz, zhrnutie:
- vypnout neduveryhodnym uzivatelum PHP v konfiguraci Apache:
<Directory /www/klient>
php3_engine off # pro PHP-3
php_flag engine off # pro PHP-4
</Directory>
- pouzit v konfiguraci PHP direktivu open_base_dir, ktera omezi
otevirani dalsich souboru na urcity adresar
- zakazat fopen wrappery, ktere umoznuji includovani vzdalene
umisteneho kodu. v konfiguraci PHP pouzijte allow_url_fopen = off;
- pouziti direktivy disable_function (pro PHP4.0.4+), kterou lze
zakazat nektere nebezpecne funkce.
- pouzit safe_mod, ktery nedovoli otevrit soubor, ktery nema stejneho
vlastnika jako vlastnik skriptu. (toto vypada jako nejlepsi reseni.)
Popripade pozri cely thread na
http://www.underground.cz/pipermail/security/threads.html
PSIkappa
psi na atlantis.sk
On Tue, 22 May 2001, Jalsovszky Tamas wrote:
>
> Ahojte!
>
> Chcem oddelit uzivatelov, ktori mozu pisat PHP skripty. Momentalne
> vsetky skripty su spracovane s userom www (apache bezi ako www). Ale:
> prefikany user moze napisat skript, ktory okopci skript niekoho a tym
> padom moze dostat k neverejnym informaciam (napr. heslo k DB v skripte).
> Ako mozem toto vyriesit? Pozeral som na Apache suExec, ale tam
> pisu, ze to je len na CGI,SSI.
>
> Vdaka,
> Tomas
Další informace o konferenci linux