From: Emre BALCI (emrebalci@yahoo.com)
Date: Mon 12 Dec 2005 - 16:36:13 EET
Aslında httpd apache kullanıcısınla calistirilsada
apache start ederken suid bitine sahip oldugu icin
kısa bir sureligine root olup sonra yeniden apache
kullanıcısına gecis yapacaktır.
Bu gibi durumlarda apache nin sadece apache
kullanıcısınla calisabilmesi icin RBAC gibi bir
mekanizma kullanılması gerekecektir.
--- "Umut D." <linuxlist@gmail.com> wrote:
> Sorun sadece paylasilmasi degil.
>
> Eger kati kuralli bir firewall ile erisimi
> engellemeyecekseniz (ya da
> apache'nin dinledigi interface'e mesela cross-kablo
> ile tek makinadan
> erismeyecekseniz) apache ve uzerinde
> calistiracaginiz scripting dili
> (ornegin php) ile ilgili her turlu acikta risk
> altindasiniz demektir.
>
> Gerci cogu durumda uzmanlar, root olmayan kotu
> niyetli ve profesyonel
> bir saldirganin da sisteme yeterli zarari
> verebilecegi fikrini
> savunuyorlar. Bu suna benziyor, hicbir kilit hirsizi
> durduramaz ama
> yavaslatir...
>
> Guvenlik olarak sadece apache'nin ya da uzerindeki
> scripting dilinin
> "login/password" tarzi suslu uygulamalarina
> kanmayin. Gerekiyorsa apache
> portunu standart disi bir portta calistirin, sadece
> erismesi gereken
> makinalardan erisecek sekilde iptables ile mac
> adresi vs bazinda
> filtreleme yapin, gerekiyorsa ic aginizda sanal bir
> ag daha olusturup
> (ayni ethernet kartinda ikinci ip adresi vs ile) bir
> de bu ag uzerine
> koyun, imkaniniz varsa bu sisteme erisecek terminali
> fiziksel olarak
> ayrica donatin (yukarida degindigim cross-kablo
> modeli)
>
> Sedat EKİNCİ wrote:
>
> > Tşk,
> >
> > Ama sunucum paylaşılmayacak, router olarak
> kullanacağım. Görsel bir
> > arayüz için bunu yapıcam.
> >
> > Tşk,
> >
> > Kolay gelsin.
> >
> > ----- Original Message ----- From: "Devrim GUNDUZ"
> <devrim@gunduz.org>
> > To: <linux-ag@liste.linux.org.tr>
> > Sent: Monday, December 12, 2005 12:23 PM
> > Subject: Re: [Linux-ag] Servis'i Root Hakkı
> >
> >
> >
> > Merhaba,
> >
> > On Mon, 12 Dec 2005, Sedat EKİNCİ wrote:
> >
> >> Bi servisin Root kullanıcısı ile çalışmasını
> nasıl sağlıyorduk ?
> >>
> >> Örneğin HTTPD'yi apache user'ı ile değil Root
> user'ı ile sistemde
> >> çalıştırmak
> >> istiyorum.
> >
> >
> > Bunu yap-ma-yın. Böyle bir durumda olası güvenlik
> açığı durumunda
> > saldırgan sisteminizde root hakkını eline
> geçirecektir ve bu da sizin
> > için
> > sıkıntı olacaktır. Zaten bu nedenle sunucular
> yetkisiz kullanıcılar
> > altında çalışırlar genelde.
> >
> > Bu arada Apache için istediğiniz şeyi httpd.conf
> içindeki
> >
> > User apache
> > Group apache
> >
> > satırlarını değiştirerek yapabilirsiniz. ;)
> >
> > Saygılar.
> > --
> > Devrim GUNDUZ
> > Kivi Bilişim Teknolojileri -
> http://www.kivi.com.tr
> > devrim~gunduz.org, devrim~PostgreSQL.org,
> devrim.gunduz~linux.org.tr
> > http://www.gunduz.org
> >
> >
> >
>
--------------------------------------------------------------------------------
>
> >
> >
> >
> > _______________________________________________
> > Linux-ag mailing list
> > Linux-ag@liste.linux.org.tr
> >
> http://liste.linux.org.tr/mailman/listinfo/linux-ag
> >
> > _______________________________________________
> > Linux-ag mailing list
> > Linux-ag@liste.linux.org.tr
> >
> http://liste.linux.org.tr/mailman/listinfo/linux-ag
> >
> _______________________________________________
> Linux-ag mailing list
> Linux-ag@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-ag
>
__________________________________________________
Do You Yahoo!?
Tired of spam? Yahoo! Mail has the best spam protection around
http://mail.yahoo.com
_______________________________________________
Linux-ag mailing list
Linux-ag@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-ag