Komentarze do: Konfiguracja Apache + FastCGI + SuExec + PHP 4/5 + kilka innych rozwiązań http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-4-5-kilka-innych-rozwiazan/ Ciekawostki programistyczne i tematy związane z bezpieczeństwem Mon, 28 Dec 2009 21:34:18 +0000 hourly 1 http://wordpress.org/?v=3.2.1 Autor: Eozwiazanie http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-4-5-kilka-innych-rozwiazan/comment-page-1/#comment-29 Eozwiazanie Thu, 02 Oct 2008 07:05:53 +0000 http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-45-kilka-innych-rozwiazan/#comment-29 Teraz widzę, że własny wrapper działa tylko w katalogu cgi-bin (poza fcgi na który dałem chattr +i) w związku z tym że IncludesNOEXEC nie wiem dlaczego nic nie daje pozostaje tylko z apachea pokasować wszystkie ScriptAlias do cgi-bin mam racje? Teraz widzę, że własny wrapper działa tylko w katalogu cgi-bin (poza fcgi na który dałem chattr +i) w związku z tym że IncludesNOEXEC nie wiem dlaczego nic nie daje pozostaje tylko z apachea pokasować wszystkie
ScriptAlias do cgi-bin mam racje?

]]> Autor: Eozwiazanie http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-4-5-kilka-innych-rozwiazan/comment-page-1/#comment-28 Eozwiazanie Thu, 02 Oct 2008 05:22:05 +0000 http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-45-kilka-innych-rozwiazan/#comment-28 Tak ale wtedy zabieramy użytkownikowi wiele porzebnych opcji, które może sobie ustawic w .htaccess :( Tak ale wtedy zabieramy użytkownikowi wiele porzebnych opcji, które może sobie ustawic w .htaccess :(

]]> Autor: Mariusz Dalewski http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-4-5-kilka-innych-rozwiazan/comment-page-1/#comment-27 Mariusz Dalewski Wed, 01 Oct 2008 11:43:17 +0000 http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-45-kilka-innych-rozwiazan/#comment-27 @Eozwiazanie: Drugi problem rozwiązujemy nie dodając dyrektywy "FileInfo" do "AllowOverride" w ustawieniach katalogu /home i mamy komplet. @Eozwiazanie:
Drugi problem rozwiązujemy nie dodając dyrektywy „FileInfo” do „AllowOverride” w ustawieniach katalogu /home i mamy komplet.

]]> Autor: Eozwiazanie http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-4-5-kilka-innych-rozwiazan/comment-page-1/#comment-26 Eozwiazanie Wed, 01 Oct 2008 11:25:59 +0000 http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-45-kilka-innych-rozwiazan/#comment-26 Rozwiązaniem jest wyciągnąć katalog dla wrapperów fastcgi do katalogu powyżej którego użytkownik nie jest w stanie wyjść przez FTP czyli np do /home/LOGIN (przyjmując że FTP jest chrootniete do /home/login). Drugi problem to trzeba jakoś w .htaccess zablokować możliwość takiego wpisu: AddHandler php5-fastcgi .html Action php5-fastcgi /costam/php55 Przy takim wpisie użytkownik sam sobie robi wrapper i znów obchodzi nam zabezpieczenia :( Rozwiązaniem jest wyciągnąć katalog dla wrapperów fastcgi do katalogu powyżej którego użytkownik nie jest w stanie wyjść przez FTP czyli np do /home/LOGIN (przyjmując że FTP jest chrootniete do /home/login).

Drugi problem to trzeba jakoś w .htaccess zablokować możliwość takiego wpisu:

AddHandler php5-fastcgi .html
Action php5-fastcgi /costam/php55

Przy takim wpisie użytkownik sam sobie robi wrapper i znów obchodzi nam zabezpieczenia :(

]]> Autor: Mariusz Dalewski http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-4-5-kilka-innych-rozwiazan/comment-page-1/#comment-25 Mariusz Dalewski Wed, 01 Oct 2008 08:30:04 +0000 http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-45-kilka-innych-rozwiazan/#comment-25 @Eozwiazanie: Masz rację, że jest to luka, której rozwiązania nie ująłem w powyższym opisie, ale wszystko zależy od uprawnień użytkownika do htdocs. Postaram się na dniach znaleźć na to skuteczne rozwiązanie. @Eozwiazanie:
Masz rację, że jest to luka, której rozwiązania nie ująłem w powyższym opisie, ale wszystko zależy od uprawnień użytkownika do htdocs. Postaram się na dniach znaleźć na to skuteczne rozwiązanie.

]]> Autor: Eozwiazanie http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-4-5-kilka-innych-rozwiazan/comment-page-1/#comment-24 Eozwiazanie Wed, 01 Oct 2008 05:35:22 +0000 http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-45-kilka-innych-rozwiazan/#comment-24 htdocs/fcgi poprzez chattr +i fcgi. Uniemożliwi to wprowadzanie zmian na folderze fcgi (razem z jego zawartością) dla wszystkich użytkowników systemu. Tak założone atrybut +i zdejmuje tylko i wyłącznie root. Problem w tym, że użytkownik może zmienic nazwę kataogu htdocs i założyc własny htdocs/fcgi i wgrac sobie tam co chce, takie rozwiazania niestety nigdy nie będa 100% bezpieczne, chyba że katalog fcgi wyciagniemy poza katalog użytkowna ale za dużo z tym roboty biorąc pod uwagę, że dla każdej domeny ma byc osobny fcgi katalog najlepiej/ htdocs/fcgi poprzez chattr +i fcgi. Uniemożliwi to wprowadzanie zmian na folderze fcgi (razem z jego zawartością) dla wszystkich użytkowników systemu. Tak założone atrybut +i zdejmuje tylko i wyłącznie root.

Problem w tym, że użytkownik może zmienic nazwę kataogu htdocs i założyc własny htdocs/fcgi i wgrac sobie tam co chce, takie rozwiazania niestety nigdy nie będa 100% bezpieczne, chyba że katalog fcgi wyciagniemy poza katalog użytkowna ale za dużo z tym roboty biorąc pod uwagę, że dla każdej domeny ma byc osobny fcgi katalog najlepiej/

]]> Autor: Mariusz Dalewski http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-4-5-kilka-innych-rozwiazan/comment-page-1/#comment-23 Mariusz Dalewski Wed, 16 Jul 2008 17:47:37 +0000 http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-45-kilka-innych-rozwiazan/#comment-23 @kustosz: 1. Logi Apache (obsługiwane przez dyrektywy np ErrorLog albo CustomLog) zapisywane są z uprawnieniami użytkownika zdefiniowanego w httpd.conf przy użyciu dyrektyw User i Group. Logi PHP, jako że PHP uruchamiane jest z poziomu użytkownika, zapisywane są z uprawnieniami użytkownika zdefiniowanego przy użyciu dyrektywy SuexecUserGroup. 2. Zgadza się. Główny proces nasłuchujący będzie działał z uprawnieniami roota, procesy potomne z uprawnieniami nadamy przez User i Group, a skrypty php będzie uruchamiane z uprawnieniami nadanymi przez SuexecUserGroup. @kustosz:
1. Logi Apache (obsługiwane przez dyrektywy np ErrorLog albo CustomLog) zapisywane są z uprawnieniami użytkownika zdefiniowanego w httpd.conf przy użyciu dyrektyw User i Group. Logi PHP, jako że PHP uruchamiane jest z poziomu użytkownika, zapisywane są z uprawnieniami użytkownika zdefiniowanego przy użyciu dyrektywy SuexecUserGroup.

2. Zgadza się. Główny proces nasłuchujący będzie działał z uprawnieniami roota, procesy potomne z uprawnieniami nadamy przez User i Group, a skrypty php będzie uruchamiane z uprawnieniami nadanymi przez SuexecUserGroup.

]]> Autor: kustosz http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-4-5-kilka-innych-rozwiazan/comment-page-1/#comment-22 kustosz Wed, 16 Jul 2008 13:18:29 +0000 http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-45-kilka-innych-rozwiazan/#comment-22 Mam jeszcze pytania: 1. czy w przypadku takiej konfiguracji logi php i samego apache zapisują się z UID/GID danego użytkownika (SuexecUserGroup v1 v1), czy też z UID/GID użytkownika zdefinowanego w httpd.conf (User i Group) ??? 2. w samym systemie (np. za pomocą ps) widać procesy "httpd" jako uruchomione z UID/GID zgodne z httpd.conf (User i Group) ??? pzdr... /kustosz Mam jeszcze pytania:

1. czy w przypadku takiej konfiguracji logi php i samego apache zapisują się z UID/GID danego użytkownika (SuexecUserGroup v1 v1), czy też z UID/GID użytkownika zdefinowanego w httpd.conf (User i Group) ???

2. w samym systemie (np. za pomocą ps) widać procesy „httpd” jako uruchomione z UID/GID zgodne z httpd.conf (User i Group) ???

pzdr…
/kustosz

]]> Autor: Mariusz Dalewski http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-4-5-kilka-innych-rozwiazan/comment-page-1/#comment-21 Mariusz Dalewski Mon, 28 Apr 2008 06:44:15 +0000 http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-45-kilka-innych-rozwiazan/#comment-21 @Gutek: Zależy jaką funkcje spełnia dany serwer. Rozwiązanie to zapewnia separacje posiadanej strony/stron www między sobą. Dodatkowo daje większe możliwości kontroli i podnosi bezpieczeństwo. Jeżeli masz kilka domen/subdomen (nawet przy jednym użytkowniku), to ja bym właśnie tak skonfigurował serwer. @Gutek: Zależy jaką funkcje spełnia dany serwer. Rozwiązanie to zapewnia separacje posiadanej strony/stron www między sobą. Dodatkowo daje większe możliwości kontroli i podnosi bezpieczeństwo.

Jeżeli masz kilka domen/subdomen (nawet przy jednym użytkowniku), to ja bym właśnie tak skonfigurował serwer.

]]> Autor: Gutek http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-4-5-kilka-innych-rozwiazan/comment-page-1/#comment-20 Gutek Sat, 26 Apr 2008 11:23:34 +0000 http://aiv-dev.info/2007/12/30/konfiguracja-apache-fastcgi-suexec-php-45-kilka-innych-rozwiazan/#comment-20 czy ten artykuł należy "wdrażać" na serwerze do którego ma dostęp jedna osoba?? tzn mamy serwer firmowy ale jest tylko jedna osoba która dokonuje jakich kolwiek zmian w systemie. Mam wrażenie jakby to dotyczyło mass hostingu tak? czy ten artykuł należy „wdrażać” na serwerze do którego ma dostęp jedna osoba?? tzn mamy serwer firmowy ale jest tylko jedna osoba która dokonuje jakich kolwiek zmian w systemie. Mam wrażenie jakby to dotyczyło mass hostingu tak?

]]>