Θέματα ασφαλείας σε περίπτωση write permission σε directory στο /var/www

[Sergey Tsabolov (aka linuxman)]

Στις 22/06/2011 06:52 μμ, ο/η Panagiotis Theodoropoulos έγραψε:
> η εφαρμογή είναι έτοιμο πακέτο groupon script (php) και στις οδηγίες για
> installation θέλει να δοθούν  write permission σε directorιes, αλλιώς δεν
> τρέχει.
> Πως μπορεί να αντιμετωπιστεί το θέμα?
Γιατί δεν αλλάζεις δικαιώματα αρχείων  τις εφαρμογής σε
owner            owner group
www-data     www-data
Όπου  www-data είναι apache2 και κανονικά θα γράφει και θα τρέχει το 
πρόγραμμα σου .
> 2011/6/22 Pantelis Koukousoulas<pktoss at gmail.com>
>
>> 2011/6/22 Panagiotis Theodoropoulos<tpanagiotis at gmail.com>:
>>> Ηθελα να ρωτήσω ποια θέματα ασφαλείας μπορούν να δημιουργηθούν σε Ubuntu
>>> Server στην περίπτωση που δοθούν  write permission σε directorιes στο
>>> /var/www, όπως απαιτεί συγκεκριμένη εφαρμογή php για να τρέξει.
>> Το μόνο που μπορώ να σου πω (μη γνωρίζοντας τη συγκεκριμένη εφαρμογή
>> κλπ) είναι ότι αν με οποιοδήποτε τρόπο κάποιος "εξωτερικός" χρήστης του
>> server
>> μπορεί να γράψει σε μέρος που μετά να μπορεί να εκτελέσει αυτό που έγραψε,
>> τότε είναι σχεδόν τετριμμένο να αποκτήσει πλήρη έλεγχο στο μηχάνημα στις
>> περισσότερες περιπτώσεις.
>>
>> Γενικά αν δεν έχεις μια πολύ καλή ιδέα του πού ακριβώς χρειάζεται να γράψει
>> η εφαρμογή και γιατί (ώστε να δώσεις write access μόνο εκεί), καθώς και να
>> βεβαιωθείς ότι δεν υπάρχουν κενά ασφαλείας στην εφαρμογή που να επιτρέπουν
>> το παραπάνω σενάριο, υπάρχει ρεαλιστικότατος κίνδυνος.
>>
>> ---
>> Παντελής
>>
>
>

-- 
---------------------------------------------------------------
Don't send me documents in .doc , .docx, .xls, .ppt , .pptx .
Send it with ODF format : .odt , .odp , .ods or .pdf .
Try to use Open Document Format : http://el.libreoffice.org
Save you money and use GNU/Linux Distro http://distrowatch.com/
--------------------------------------------------------------
First they ignore you, then they ridicule you, then they fight you,then you win!!!