Re: Θέματα ασφαλείας σε περίπτωση write permission σε directory στο /var/www

[Panagiotis Theodoropoulos]

η εφαρμογή είναι έτοιμο πακέτο groupon script (php) και στις οδηγίες για
installation θέλει να δοθούν  write permission σε directorιes, αλλιώς δεν
τρέχει.
Πως μπορεί να αντιμετωπιστεί το θέμα?

2011/6/22 Pantelis Koukousoulas <pktoss at gmail.com>

> 2011/6/22 Panagiotis Theodoropoulos <tpanagiotis at gmail.com>:
> > Ηθελα να ρωτήσω ποια θέματα ασφαλείας μπορούν να δημιουργηθούν σε Ubuntu
> > Server στην περίπτωση που δοθούν  write permission σε directorιes στο
> > /var/www, όπως απαιτεί συγκεκριμένη εφαρμογή php για να τρέξει.
>
> Το μόνο που μπορώ να σου πω (μη γνωρίζοντας τη συγκεκριμένη εφαρμογή
> κλπ) είναι ότι αν με οποιοδήποτε τρόπο κάποιος "εξωτερικός" χρήστης του
> server
> μπορεί να γράψει σε μέρος που μετά να μπορεί να εκτελέσει αυτό που έγραψε,
> τότε είναι σχεδόν τετριμμένο να αποκτήσει πλήρη έλεγχο στο μηχάνημα στις
> περισσότερες περιπτώσεις.
>
> Γενικά αν δεν έχεις μια πολύ καλή ιδέα του πού ακριβώς χρειάζεται να γράψει
> η εφαρμογή και γιατί (ώστε να δώσεις write access μόνο εκεί), καθώς και να
> βεβαιωθείς ότι δεν υπάρχουν κενά ασφαλείας στην εφαρμογή που να επιτρέπουν
> το παραπάνω σενάριο, υπάρχει ρεαλιστικότατος κίνδυνος.
>
> ---
> Παντελής
>



-- 
Παναγιώτης Θεοδωρόπουλος
Panagiotis Theodoropoulos
<tpanagiotis at gmail.com>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://lists.ubuntu.com/archives/ubuntu-gr/attachments/20110622/ec149e54/attachment.html>