From: Aykut ARDIÇ (aykut@fuardunyasi.com)
Date: Thu 07 Oct 2004 - 10:42:08 EEST
Arkadaşlar yardım için teşekkürler :) uzun süre uykusuz kalmanın eseri
sanırım
/etc/php.ini dosyasını edit edip safe mod u On yapmama rağmen ve Cpanel den
update apache yaparken safe modu özellikle seçmeme rağmen bi türlü alet safe
mod çalışmıyordu :)
şimdi gelen maillerden sonra
http.conf a baktım ya bu php nerde diye, :) (biraz geç oldu ama) bulundugu
klasörün bi üst klasöründe php.ini oldugunu gördüm o dosyayı edit edip safe
mod u On yapınca sıkıntı ortadan kalktı :) saolun yardımlar için
Dinlenmek lazım
ha bide linux kurmak lazım makinaya ama bizde bu gayret olduktan sonra zor
gibi görünüyo
her ne kadar window$ kullanmaktan sıkıldımsa da mecburi istikamet kullanıyoz
işte
Yardımlar için saol safe modu bin kere denedim :) daha yeni dank etti kafaya
:)
----- Original Message -----
From: "Umut" <php@kakalak.org>
To: <linux-guvenlik@liste.linux.org.tr>
Sent: Thursday, October 07, 2004 10:31 AM
Subject: [linux-guvenlik] Re: php guvenligi
Merhaba,
PHP ile virtual hosting yapiyorsaniz ve ozellikle cok sayida hostinginiz
varsa uygulayacaginiz bir kac parametre ile sadece /etc/passwd degil kendi
upload ettikleri dosyalar disinda hicbir yere erisememelerini
saglayabilirsiniz:
1. safe mode mutlaka "on" olmali
2. safe mode gid parametresi var, safe mode on iken user id tutmazsa group
id ayni oldugu durumda yetki veriyor, bu da diger hostinglerinize girmesini
sagliyor, bu da mutlaka "off" olmali
3. open base dir restriction mutlaka yetkilendirilmis bir alanda verilmeli,
boylece tmp dizinine dahi kendi scriptiyle erisemez hale gelecek (file
upload vs icin php kullanmaya devam edebiliyor)
4. execute base dir mutlaka secilmeli, ve eger cgi yoksa (php varken fazla
gerek olmuyor) execute base dir olarak verdiginiz dizin "noexec"
parametresiyle mount edilmis bir partition olmali
Bunlari yaptiginiz zaman apache icinde herhangi bir ilave ayara gerek
olmuyor. Kullanicilar kendi ftp hesaplariyla dosyalarini gonderiyorlar ve
sadece onlari okuyup calistirabiliyorlar (calistirmak derken apache'nin
calistirmasini kastediyrum, cgi olarak degil)
Saygilar
Umut Demirhan
Aykut> selam arkadaşlar bi sıkıntım var yardımcı olacaklara şimdiden
teşekkür
Aykut> ederim
Aykut>
Aykut> belkide milyonlarca defa millete anlatmış olabilirsiniz ama akşamdan
beri
Aykut> okuyorum sagı solu new user oldugum için bulamadım
Aykut>
Aykut> sorun : userler kendi home directory lerine yükledikleri php cgi vs
bir
Aykut> script yoluyla nobody:nobody user ve grubu sayasinde ../etc/passwd yi
ekrana
Aykut> den basmalarını.nası engelleriz mümkünse bu userlerin yazdıgı
scriptler
Aykut> kendi klasörlerinden dışarı çıkamasın nası olur bi bilen anlatırsa
sevinirim