Subject: [LINUX:12104] Re: suid php3 script
From: Burak DAYIOĞLU (burak@hacettepe.edu.tr)
Date: Wed 12 Jan 2000 - 00:40:55 EET
Gorkem Cetin wrote:
> > On Thu, 6 Jan 2000, Selami AKSOY wrote:
> > > >
> > > > SUID ve GUID olarak ayarlanmis bir php3 scriptde adduser, chpasswd gibi
> > > > komutlari kullaniyorum. Fakat script 'cant lock passwd file' gibi hatalar
> > > > veriyor ve calismiyor.scriptin owner'i ve grubu root . Ne yapmam gerekiyor ?
> > > scriptlerde SUID, GUID kullanIlamaz diye hatIrlIyorum. Bu durumda siz
> > > root.root yapIp permissionlarInI da SUID Seklinde ayarlasanIz bile web
> > > server hangi kullanIcI adIna CalISIyorsa o da o kullanIcI adIna
> > > CalISIcaktIr..
>
> Selami hakli, bash 2.0 ile birlikte guvenlik onlemi olarak SUID betikler
> calistirilamiyor. Yapmaniz gereken /etc/passwd ve /etc/shadow dosyalarinin
> sahibini ve gerekiyorsa grubunu nobody olarak degistirmek, boylece nobody
> altinda calisan Apache sunucusu sistem uzerindeki bu dosyalarda degisiklik
> yapabilir.
Bunu kesinlikle tavsiye etmem. Bu dosyaların bütünlüğü ve (shadow için)
gizliliği sistem bütünlüğü için son derece önemlidir. nobody'e
devredilen bu iki dosya sistemdeki diğer kullanıcıların kolayca n farklı
yöntem ile izinsizce daha yetkili bir düzeye gelmeleri ile sonuçlanır.
bunun yerine php script'inizden setuid shell script'lerini çağırarak o
script'lerden adduser vs.'yi çağırabilirsiniz. Shell script'lerinizin,
ya da sarmal (wrapper) olarak ne kullanıyorsanız onun güvenliği sizin
güvenliğiniz anlamına geleceğinden son derece dikkatli ve özenli
yazılmalılar...
selamlar,
-bd
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr'a gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/