hypweb.net
XOOPSマニア  最新情報のRSS(サイト全体)
[ 自宅サーバーWebRing |ID=54 前後5表示乱移動サイト一覧 ]

TOP » UsersWiki » nao-pon » blog » 2013-08-30

RSS of nao-pon/blog
2013 8月 30 (金)
 

今回のロリポ騒動で感じたこと anchor.png

今回のロリポ騒動で感じたことは、共有サーバーでのパーミッション設定は注意が必要だということです。
XOOPS の mainfile.php のパーミッションは、できれば 0400 、 0400 で動かなければ 0404 、それでも動かなければ 0444 ということになります。

X-update の一般設定の「書き込み可ファイル パーミッション」と「書き込み可ディレクトリ パーミッション」も同様です。
それぞれ 0600, 0606, 0666 と 0700, 0707, 0777 と先から順に試してできるだけ厳しいパーミッションにすべきだと思います。

Page Top

共有サーバーで mainfile.php の 0444 がなぜ危険なのか? anchor.png

とあるサーバー「A」は複数のユーザーで共有しているサーバーです。
そのサーバーは PHP がユーザー権限で動きます。
そのサーバー上のすべてのユーザーは同一グループに所属しています。

mainfile.php をパーミッション 0444 で設置しました。

このサーバー「A」上では、すべてのユーザーの任意のPHPスクリプトから mainfile.php の内容を読むことができます。

といった感じです。

XOOPS の mainfile.php に何が記載されているか知らない方は、FTP で mainfile.php をダウンロードして、内容を確認してください。

私は、素人なのでこの内容が間違っている可能性もあります。間違いがありましたら、随時ご指摘ください。

Page Top

シンボリックリンクによる脆弱性 anchor.png

2013-08-31 (土) 01:27:12 追記

共有サーバーでは、こういった問題を防ぐため open_basedir で、PHP が読み込めるディレクトリをユーザーディレクトリ以下に制限している場合がほとんどだと思います。

しかし、Apache の設定によっては、シンボリックリンクを使い、読み込み可能な位置まで仮想的に移動して、読み可能とすることが可能です。

そのような設定であるならアウトですね。

参考リンク
Page Top

要するに anchor.png

X-update の一般設定を次のように設定することを強くお勧めします。
※ .php パーミッションについては、各サーバーのマニュアルをよく読み、マニュアルに記載がある場合は、そちらを指定して下さい。

mainfile.php が 0400 で動くサーバーの場合
書き込み可ファイル パーミッション600
書き込み可ディレクトリ パーミッション700
.php パーミッション※600

mainfile.php が 0404 で動くサーバーの場合
書き込み可ファイル パーミッション606
書き込み可ディレクトリ パーミッション707
.php パーミッション※604

mainfile.php が 0444 でしか動かないサーバーの場合
書き込み可ファイル パーミッション666
書き込み可ディレクトリ パーミッション777
.php パーミッション※644



トップ   凍結 差分 バックアップ 複製 名前変更 リロード印刷に適した表示   ページ新規作成 全ページ一覧 単語検索 最新ページの一覧   ヘルプ   最新ページのRSS 1.0 最新ページのRSS 2.0 最新ページのRSS Atom Powered by xpWiki
Counter: 340, today: 1, yesterday: 0
初版日時: 2013-08-30 (金) 09:57:01
最終更新: 2013-08-31 (土) 01:27:12 (JST) (3853d) by nao-pon
このページのTopへ
メインメニュー
ログイン

ユーザー名:


パスワード:





パスワード紛失  |新規登録
最近の更新
オンライン状況
208 人のユーザが現在オンラインです。 (10 人のユーザが UsersWiki を参照しています。)

登録ユーザ: 0
ゲスト: 208

もっと...
サイト情報