hypweb.net
XOOPSマニア  最新情報のRSS(サイト全体)
[ 自宅サーバーWebRing |ID=54 前後5表示乱移動サイト一覧 ]

19年7月19日(Fri) 9時31分
TOP » UsersWiki » nao-pon » blog » 2013-08-30

RSS of nao-pon/blog
Fri 30 Aug 2013
 

今回のロリポ騒動で感じたこと anchor.png

今回のロリポ騒動で感じたことは、共有サーバーでのパーミッション設定は注意が必要だということです。
XOOPS の mainfile.php のパーミッションは、できれば 0400 、 0400 で動かなければ 0404 、それでも動かなければ 0444 ということになります。

X-update の一般設定の「書き込み可ファイル パーミッション」と「書き込み可ディレクトリ パーミッション」も同様です。
それぞれ 0600, 0606, 0666 と 0700, 0707, 0777 と先から順に試してできるだけ厳しいパーミッションにすべきだと思います。

Page Top

共有サーバーで mainfile.php の 0444 がなぜ危険なのか? anchor.png

とあるサーバー「A」は複数のユーザーで共有しているサーバーです。
そのサーバーは PHP がユーザー権限で動きます。
そのサーバー上のすべてのユーザーは同一グループに所属しています。

mainfile.php をパーミッション 0444 で設置しました。

このサーバー「A」上では、すべてのユーザーの任意のPHPスクリプトから mainfile.php の内容を読むことができます。

といった感じです。

XOOPS の mainfile.php に何が記載されているか知らない方は、FTP で mainfile.php をダウンロードして、内容を確認してください。

私は、素人なのでこの内容が間違っている可能性もあります。間違いがありましたら、随時ご指摘ください。

Page Top

シンボリックリンクによる脆弱性 anchor.png

2013-08-31 (土) 01:27:12 追記

共有サーバーでは、こういった問題を防ぐため open_basedir で、PHP が読み込めるディレクトリをユーザーディレクトリ以下に制限している場合がほとんどだと思います。

しかし、Apache の設定によっては、シンボリックリンクを使い、読み込み可能な位置まで仮想的に移動して、読み可能とすることが可能です。

そのような設定であるならアウトですね。

参考リンク
Page Top

要するに anchor.png

X-update の一般設定を次のように設定することを強くお勧めします。
※ .php パーミッションについては、各サーバーのマニュアルをよく読み、マニュアルに記載がある場合は、そちらを指定して下さい。

mainfile.php が 0400 で動くサーバーの場合
書き込み可ファイル パーミッション600
書き込み可ディレクトリ パーミッション700
.php パーミッション※600

mainfile.php が 0404 で動くサーバーの場合
書き込み可ファイル パーミッション606
書き込み可ディレクトリ パーミッション707
.php パーミッション※604

mainfile.php が 0444 でしか動かないサーバーの場合
書き込み可ファイル パーミッション666
書き込み可ディレクトリ パーミッション777
.php パーミッション※644



Comments list

nonn50  Posted on 2013-8-30 18:29

いいね

そういえば、xpWikiに「いいね」ボタン 有りませんでしたね ;)

Post a new comment

Subject
guestname
Body

Go to richer form

Front page   Freeze Diff Backup Copy Rename ReloadPrint View   New Page Page list Search Recent changes   Help   RSS of recent changes (RSS 1.0) RSS of recent changes (RSS 2.0) RSS of recent changes (RSS Atom) Powered by xpWiki
Counter: 2075, today: 1, yesterday: 2
Princeps date: 2013-08-30 (Fri) 09:57:01
Last-modified: 2013-08-31 (Sat) 01:27:12 (JST) (2148d) by nao-pon
このページのTopへ
ログイン
ユーザ名:

パスワード:

オートログイン

Basic 認証

Register now! | Lost Password?



メインメニュー
UsersWiki メニュー
付箋メニュー
Fusen(Tag) menu 
Tag Editor
Color: BG:
Name:  Connect line ID:
 
ブックマーク
Please log in to use it.
[Login]
サイト内 Wiki
☆ 検索 ☆



高度な検索(サイト内)
FireFox検索プラグイン
オンライン状況
合計 47 人がオンライン中 :-)
(UsersWiki : 4 人)

登録ユーザ: 0 & ゲスト: 47

もっと...
サイト情報
管理人

nao-pon
 

登録ユーザ数: 4610


Web Services by Yahoo! JAPAN
楽天ウェブサービスセンター
Amazon.co.jpアソシエイト
現在ページのQRコード
現在ページのQRコード
[携帯対応]
参照元情報