WebHostingTalk.ru  

Вернуться   WebHostingTalk.ru > Главные форумы > Технические аспекты и вопросы безопасности

Закрытая тема
 
Опции темы
  #1  
Старый 19.09.2002, 14:34
Mihail_S Mihail_S вне форума
Студент
 
Регистрация: 19.09.2002
Сообщений: 14
По умолчанию

Здравствуйте.
Есть не мало известный скрипт phpRemView( http://php.spb.ru/remview/ ), позволяющий с помощью shell команд проникать ниже дириктории с папкой сайта.
Как ограничить выполнение скриптов, подобного рода?



  #2  
Старый 19.09.2002, 18:11
Host-Provider.Ru Host-Provider.Ru вне форума
Лаборант
 
Регистрация: 08.02.2002
Сообщений: 217
Отправить сообщение для Host-Provider.Ru с помощью ICQ
По умолчанию

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Mihail_S @ 19 Сен. 2002, 15:34)</td></tr><tr><td id="QUOTE">Здравствуйте.
Есть не мало известный скрипт phpRemView( http://php.spb.ru/remview/ ), позволяющий с помощью shell команд проникать ниже дириктории с папкой сайта.
Как ограничить выполнение скриптов, подобного рода?[/QUOTE]<span id='postcolor'>
php в сейф-мод и в качестве open base dir указать юзерскую хому.
  #3  
Старый 19.09.2002, 19:19
Mihail_S Mihail_S вне форума
Студент
 
Регистрация: 19.09.2002
Сообщений: 14
По умолчанию

Host-Provider.Ru, спасибо.



  #4  
Старый 26.09.2002, 19:26
L0rda L0rda вне форума
Студент
 
Регистрация: 26.09.2002
Сообщений: 16
По умолчанию

Как максимально ограничить пользовательские PHP скрипты. [обсудить]
В httpd.conf в блок конфигурации каждого виртуального хоста добавляем:

php_admin_flag engine on
php_admin_flag expose_php off
php_admin_flag safe_mode on
php_admin_flag track_vars on
php_admin_flag allow_url_fopen off
php_admin_flag magic_quotes_runtime on
php_admin_value doc_root /home/user/htdocs
php_admin_value open_basedir /home/user/htdocs
php_admin_value safe_mode_exec_dir /home/user/bin
php_admin_value safe_mode_protected_env_vars LD_LIBRARY_PATH
php_admin_value safe_mode_allowed_env_vars PHP_
php_admin_value upload_tmp_dir /home/user/htdocs/tmp
php_admin_value upload_max_filesize 1024000
php_admin_value max_execution_time 10
php_admin_value post_max_size 1M
php_admin_value memory_limit 8M
php_admin_flag mysql.allow_persistent off
php_admin_value mysql.max_links 5
php_admin_flag pgsql.allow_persistent off
php_admin_value pgsql.max_links 5
# php_admin_value disable_functions =


quote from www.opennet.ru
  #5  
Старый 27.09.2002, 10:47
AndreyS AndreyS вне форума
Лаборант
 
Регистрация: 16.06.2002
Сообщений: 139
По умолчанию

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE"> php_admin_value safe_mode_exec_dir /home/user/bin [/QUOTE]<span id='postcolor'>
Если /home/user - домашняя директория пользователя, то вот это напрасно - дает возможность пользователю запускать любую свою программу с правами веб сервера. И кому тогда интересны все прочие ограничения?
И вообще, в такой ситуации очень редкую программу можно позволить запускать ( или ненужную) Даже ls по хорошему нельзя.
  #6  
Старый 27.09.2002, 10:52
L0rda L0rda вне форума
Студент
 
Регистрация: 26.09.2002
Сообщений: 16
По умолчанию

это была цитата вообще-то
как пример что можно и как можно
а по поводу исполнения программ и выдачи нежелательной информации
у меня
php_admin_value disable_functions = exec,system,passthru,phpinfo и так далее
  #7  
Старый 27.09.2002, 11:21
AndreyS AndreyS вне форума
Лаборант
 
Регистрация: 16.06.2002
Сообщений: 139
По умолчанию

Все равно для верности неплохо в дополнение назначить
php_admin_value safe_mode_exec_dir куда нибудь в пустую и недоступную для записи директорию. Имхо.
  #8  
Старый 27.09.2002, 11:23
L0rda L0rda вне форума
Студент
 
Регистрация: 26.09.2002
Сообщений: 16
По умолчанию

тоже верно
а еще проще сделать энжин офф
проблем не будет
  #9  
Старый 27.09.2002, 11:24
AndreyS AndreyS вне форума
Лаборант
 
Регистрация: 16.06.2002
Сообщений: 139
По умолчанию

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (L0rda @ 27 Сен. 2002, 12:23)</td></tr><tr><td id="QUOTE">тоже верно
а еще проще сделать энжин офф
проблем не будет[/QUOTE]<span id='postcolor'>
Ага, только на директорию /home/user/htdocs/tmp, куда назначен php_admin_value upload_tmp_dir
Закрытая тема


Ваши права в разделе
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Помощь по php Aliens Технологии программирования для web 2 31.03.2008 04:59
Как ограничить ресурсы пользователя? denis Технические аспекты и вопросы безопасности 3 16.04.2006 00:14
Php у Зенона KPOXA Технические аспекты и вопросы безопасности 7 24.08.2004 18:47
Update php Agr Технические аспекты и вопросы безопасности 19 24.03.2003 15:37
Php и phpmyadmin avik Технические аспекты и вопросы безопасности 13 02.10.2002 02:35


Часовой пояс GMT +3, время: 20:50.


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot