WebHostingTalk.ru  

Вернуться   WebHostingTalk.ru > Главные форумы > Технические аспекты и вопросы безопасности

Ответ
 
Опции темы
  #31  
Старый 05.12.2002, 12:27
Net.Ru Net.Ru вне форума
Дипломник
 
Регистрация: 23.08.2002
Сообщений: 24
По умолчанию

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Антон Нехороших @ 03 Дек. 2002, 19:21)</td></tr><tr><td id="QUOTE"></span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Net.Ru @ 03 Дек. 2002, 13:15)</td></tr><tr><td id="QUOTE"></span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Антон Нехороших @ 01 Дек. 2002, 23:40)</td></tr><tr><td id="QUOTE">[/QUOTE]<span id='postcolor'>
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE">
Живой пример у нас, safe mode = off, php как модуль, апача 1.хх, все работает под uid
php и апачу на предмет этого не трогали
[/QUOTE]<span id='postcolor'>
open_basedir на ~user и local/lib/php, выполнение с правами nobody - на выполнению php с uid конкретного пользователя это совсем не похоже.[/QUOTE]<span id='postcolor'>
как раз выполнение с правами юзера, а не nobody [/QUOTE]<span id='postcolor'>
phpinfo() везде у вас говорит 'User/Group - nobody(65534)/8080'. Может быть у меня глюки, но я вижу здесь только nobody, но не юзера.
Ответить с цитированием
  #32  
Старый 05.12.2002, 12:54
Антон Нехороших Антон Нехороших вне форума
Аспирант
 
Регистрация: 18.04.2002
Сообщений: 88
По умолчанию

ну там как история с сараем
а так любой процес будет пущен под uid и любая работа с файлами идет под uid
__________________
С уважением,
Антон Нехороших.
Ответить с цитированием
  #33  
Старый 15.12.2002, 17:23
avik avik вне форума
Дипломник
 
Регистрация: 07.07.2002
Сообщений: 34
По умолчанию

Ув. Антон Нехороших.
Вы здесь только поумничать или коллегам помочь?

По моему, здесь место только для второго варианта, хотя и 1&gt;2 = решение проблемы, это пошло бы.
Но я вижу только 1.
Ответить с цитированием
  #34  
Старый 15.12.2002, 23:25
Антон Нехороших Антон Нехороших вне форума
Аспирант
 
Регистрация: 18.04.2002
Сообщений: 88
По умолчанию

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (avik @ 15 Дек. 2002, 17:23)</td></tr><tr><td id="QUOTE">Ув. Антон Нехороших.
Вы здесь только поумничать или коллегам помочь?

По моему, здесь место только для второго варианта, хотя и 1&gt;2 = решение проблемы, это пошло бы.
Но я вижу только 1.[/QUOTE]<span id='postcolor'>
Коллег я должен знать лично и выпить с ними не один литр водки, чтобы уж потом расказывать вещи о которыйх вы ни как догодаться не можете.
__________________
С уважением,
Антон Нехороших.
Ответить с цитированием
  #35  
Старый 15.12.2002, 23:46
ENELIS ENELIS вне форума
Лаборант
 
Регистрация: 12.05.2002
Сообщений: 276
Отправить сообщение для ENELIS с помощью ICQ
По умолчанию

Если у каждого клента выделенный IP адрес, то вопрос решается. А если shared IP, тогда уже сложнее.
__________________
С уважением,
ENELIS Russia
http://www.enelis.ru
Ответить с цитированием
  #36  
Старый 31.01.2003, 10:33
dim-dim dim-dim вне форума
Лаборант
 
Регистрация: 22.02.2002
Сообщений: 245
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (Антон Нехороших @ 01 Декабря 2002, 23:40)]Общепринятое заблуждение
Живой пример у нас, safe mode = off, php как модуль, апача 1.хх, все работает под uid
php и апачу на предмет этого не трогали
Используете FastCGI для этого?
Ответить с цитированием
  #37  
Старый 01.02.2003, 12:56
Антон Нехороших Антон Нехороших вне форума
Аспирант
 
Регистрация: 18.04.2002
Сообщений: 88
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (dim-dim @ 31 Января 2003, 10:33)]
Цитата:
Сообщение от [b
Цитата[/b] (Антон Нехороших @ 01 Декабря 2002, 23:40)]Общепринятое заблуждение
Живой пример у нас, safe mode = off, php как модуль, апача 1.хх, все работает под uid
php и апачу на предмет этого не трогали
Используете FastCGI для этого?
Нет, к php мы fastcgi не прикручивали, он как модуль работает и так великолепно.
__________________
С уважением,
Антон Нехороших.
Ответить с цитированием
  #38  
Старый 01.02.2003, 22:27
Антон Нехороших Антон Нехороших вне форума
Аспирант
 
Регистрация: 18.04.2002
Сообщений: 88
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (Guest @ 01 Февраля 2003, 21:55)]
Ну славо богу, нашелся хоть один который пораскинул мозгами

Цитата:
Сообщение от [b
Цитата[/b] ]Чуть сложнее - open_basedir на пользовательский каталог, mount -o suiddir, патч php чтобы popen работал через suexec wrapper (замена 1 строки). Вариант покрасивее первого, но создает новые уязвимости из-за которых придется таки патчить по мелочам php в разных местах.
Добавления
трогаем ядро, что бы suiddir человеческий был
в open_basedir кладем /bin/sh ну и права делаем ему 10611 и uid и nogroup и schg

Цитата:
Сообщение от [b
Цитата[/b] ]Судя по всему, у valuehost этот вариант и если быть педантом, php-скрипт работает все-таки с правами сервера (nobody), а не владельца скрипта. Хотя в большинстве случаев это не важно.
если еще чуток подумать то получится нормальная вещь и про safe mod можно забыть
__________________
С уважением,
Антон Нехороших.
Ответить с цитированием
  #39  
Старый 03.02.2003, 13:46
Net.Ru Net.Ru вне форума
Дипломник
 
Регистрация: 23.08.2002
Сообщений: 24
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (Антон Нехороших @ 01 Февраля 2003, 22:27)]если еще чуток подумать то получится нормальная вещь и про safe mod можно забыть
Возможно получится.

У нас работает другой вариант, так как вариант с suiddir и open_basedir без safe_mode слишком дырявый и малофункциональный.
Ответить с цитированием
  #40  
Старый 03.02.2003, 14:14
Антон Нехороших Антон Нехороших вне форума
Аспирант
 
Регистрация: 18.04.2002
Сообщений: 88
По умолчанию

Цитата:
Сообщение от [b
Цитата[/b] (Net.Ru @ 03 Февраля 2003, 13:46)]
Цитата:
Сообщение от [b
Цитата[/b] (Антон Нехороших @ 01 Февраля 2003, 22:27)]если еще чуток подумать то получится нормальная вещь и про safe mod можно забыть
Возможно получится.

У нас работает другой вариант, так как вариант с suiddir и open_basedir без safe_mode слишком дырявый и малофункциональный.
работает как часы
дыр необнаружено
__________________
С уважением,
Антон Нехороших.
Ответить с цитированием
Ответ


Ваши права в разделе
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Хамское поведение АГАВЫ любознательный Мусор 43 01.11.2010 13:01


Часовой пояс GMT +3, время: 20:59.


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot