hypweb.net
XOOPSマニア  最新情報のRSS(サイト全体)
[ 自宅サーバーWebRing |ID=54 前後5表示乱移動サイト一覧 ]

19年3月23日(Sat) 12時21分
TOP » UsersWiki » nao-pon » blog » 2013-08-30

RSS of nao-pon/blog
2013 8月 30 (金)
 

今回のロリポ騒動で感じたこと anchor.png

今回のロリポ騒動で感じたことは、共有サーバーでのパーミッション設定は注意が必要だということです。
XOOPS の mainfile.php のパーミッションは、できれば 0400 、 0400 で動かなければ 0404 、それでも動かなければ 0444 ということになります。

X-update の一般設定の「書き込み可ファイル パーミッション」と「書き込み可ディレクトリ パーミッション」も同様です。
それぞれ 0600, 0606, 0666 と 0700, 0707, 0777 と先から順に試してできるだけ厳しいパーミッションにすべきだと思います。

Page Top

共有サーバーで mainfile.php の 0444 がなぜ危険なのか? anchor.png

とあるサーバー「A」は複数のユーザーで共有しているサーバーです。
そのサーバーは PHP がユーザー権限で動きます。
そのサーバー上のすべてのユーザーは同一グループに所属しています。

mainfile.php をパーミッション 0444 で設置しました。

このサーバー「A」上では、すべてのユーザーの任意のPHPスクリプトから mainfile.php の内容を読むことができます。

といった感じです。

XOOPS の mainfile.php に何が記載されているか知らない方は、FTP で mainfile.php をダウンロードして、内容を確認してください。

私は、素人なのでこの内容が間違っている可能性もあります。間違いがありましたら、随時ご指摘ください。

Page Top

シンボリックリンクによる脆弱性 anchor.png

2013-08-31 (土) 01:27:12 追記

共有サーバーでは、こういった問題を防ぐため open_basedir で、PHP が読み込めるディレクトリをユーザーディレクトリ以下に制限している場合がほとんどだと思います。

しかし、Apache の設定によっては、シンボリックリンクを使い、読み込み可能な位置まで仮想的に移動して、読み可能とすることが可能です。

そのような設定であるならアウトですね。

参考リンク
Page Top

要するに anchor.png

X-update の一般設定を次のように設定することを強くお勧めします。
※ .php パーミッションについては、各サーバーのマニュアルをよく読み、マニュアルに記載がある場合は、そちらを指定して下さい。

mainfile.php が 0400 で動くサーバーの場合
書き込み可ファイル パーミッション600
書き込み可ディレクトリ パーミッション700
.php パーミッション※600

mainfile.php が 0404 で動くサーバーの場合
書き込み可ファイル パーミッション606
書き込み可ディレクトリ パーミッション707
.php パーミッション※604

mainfile.php が 0444 でしか動かないサーバーの場合
書き込み可ファイル パーミッション666
書き込み可ディレクトリ パーミッション777
.php パーミッション※644



コメント一覧

nonn50  投稿日時 2013-8-30 18:29

いいね

そういえば、xpWikiに「いいね」ボタン 有りませんでしたね ;)

新しくコメントをつける

題名
ゲスト名
投稿本文

より詳細なコメント入力フォームへ

トップ   凍結 差分 バックアップ 複製 名前変更 リロード印刷に適した表示   ページ新規作成 全ページ一覧 単語検索 最新ページの一覧   ヘルプ   最新ページのRSS 1.0 最新ページのRSS 2.0 最新ページのRSS Atom Powered by xpWiki
Counter: 2020, today: 1, yesterday: 4
初版日時: 2013-08-30 (金) 09:57:01
最終更新: 2013-08-31 (土) 01:27:12 (JST) (2030d) by nao-pon
このページのTopへ
ログイン
ユーザ名:

パスワード:

オートログイン

Basic 認証

新規登録 | パスワード紛失



メインメニュー
UsersWiki メニュー
付箋メニュー
付箋メニュー 
付箋の編集
文字色: 背景色:
お名前:  線接続id:
 
ブックマーク
オンサイトブックマークは
ログインするとご利用になれます
[ログインする]
サイト内 Wiki
☆ 検索 ☆



高度な検索(サイト内)
FireFox検索プラグイン
オンライン状況
合計 45 人がオンライン中 :-)
(UsersWiki : 1 人)

登録ユーザ: 0 & ゲスト: 45

もっと...
サイト情報
管理人

nao-pon
 

登録ユーザ数: 4600


Web Services by Yahoo! JAPAN
楽天ウェブサービスセンター
Amazon.co.jpアソシエイト
現在ページのQRコード
現在ページのQRコード
[携帯対応]
参照元情報