From: Umut (php@kakalak.org)
Date: Thu 07 Oct 2004 - 10:31:31 EEST
Merhaba,
PHP ile virtual hosting yapiyorsaniz ve ozellikle cok sayida hostinginiz varsa uygulayacaginiz bir kac parametre ile sadece /etc/passwd degil kendi upload ettikleri dosyalar disinda hicbir yere erisememelerini saglayabilirsiniz:
1. safe mode mutlaka "on" olmali
2. safe mode gid parametresi var, safe mode on iken user id tutmazsa group id ayni oldugu durumda yetki veriyor, bu da diger hostinglerinize girmesini sagliyor, bu da mutlaka "off" olmali
3. open base dir restriction mutlaka yetkilendirilmis bir alanda verilmeli, boylece tmp dizinine dahi kendi scriptiyle erisemez hale gelecek (file upload vs icin php kullanmaya devam edebiliyor)
4. execute base dir mutlaka secilmeli, ve eger cgi yoksa (php varken fazla gerek olmuyor) execute base dir olarak verdiginiz dizin "noexec" parametresiyle mount edilmis bir partition olmali
Bunlari yaptiginiz zaman apache icinde herhangi bir ilave ayara gerek olmuyor. Kullanicilar kendi ftp hesaplariyla dosyalarini gonderiyorlar ve sadece onlari okuyup calistirabiliyorlar (calistirmak derken apache'nin calistirmasini kastediyrum, cgi olarak degil)
Saygilar
Umut Demirhan
Aykut> selam arkadaşlar bi sıkıntım var yardımcı olacaklara şimdiden teşekkür
Aykut> ederim
Aykut>
Aykut> belkide milyonlarca defa millete anlatmış olabilirsiniz ama akşamdan beri
Aykut> okuyorum sagı solu new user oldugum için bulamadım
Aykut>
Aykut> sorun : userler kendi home directory lerine yükledikleri php cgi vs bir
Aykut> script yoluyla nobody:nobody user ve grubu sayasinde ../etc/passwd yi ekrana
Aykut> den basmalarını.nası engelleriz mümkünse bu userlerin yazdıgı scriptler
Aykut> kendi klasörlerinden dışarı çıkamasın nası olur bi bilen anlatırsa sevinirim