ページへ戻る

− Links

 印刷 

今回のロリポ騒動で感じたこと :: XOOPS マニア

UsersWiki:nao-pon/blog/2013-08-30
RSS of nao-pon/blog[5]
2013 8月 30 (金)
 
ページ内コンテンツ
  • 今回のロリポ騒動で感じたこと
    • 共有サーバーで mainfile.php の 0444 がなぜ危険なのか?
    • シンボリックリンクによる脆弱性
    • 要するに

今回のロリポ騒動で感じたこと anchor.png[6]

Tag: Web[7] セキュリティ[8] 共有サーバー[9]

今回のロリポ騒動で感じたことは、共有サーバーでのパーミッション設定は注意が必要だということです。
XOOPS[11] の mainfile.php のパーミッションは、できれば 0400 、 0400 で動かなければ 0404 、それでも動かなければ 0444 ということになります。

X-update[12] の一般設定の「書き込み可ファイル パーミッション」と「書き込み可ディレクトリ パーミッション」も同様です。
それぞれ 0600, 0606, 0666 と 0700, 0707, 0777 と先から順に試してできるだけ厳しいパーミッションにすべきだと思います。

Page Top

共有サーバーで mainfile.php の 0444 がなぜ危険なのか? anchor.png[13]

とあるサーバー「A」は複数のユーザーで共有しているサーバーです。
そのサーバーは PHP がユーザー権限で動きます。
そのサーバー上のすべてのユーザーは同一グループに所属しています。

mainfile.php をパーミッション 0444 で設置しました。

このサーバー「A」上では、すべてのユーザーの任意のPHPスクリプトから mainfile.php の内容を読むことができます。

といった感じです。

XOOPS[11] の mainfile.php に何が記載されているか知らない方は、FTP で mainfile.php をダウンロードして、内容を確認してください。

私は、素人なのでこの内容が間違っている可能性もあります。間違いがありましたら、随時ご指摘ください。

Page Top

シンボリックリンクによる脆弱性 anchor.png[14]

2013-08-31 (土) 01:27:12 追記

共有サーバーでは、こういった問題を防ぐため open_basedir で、PHP が読み込めるディレクトリをユーザーディレクトリ以下に制限している場合がほとんどだと思います。

しかし、Apache の設定によっては、シンボリックリンクを使い、読み込み可能な位置まで仮想的に移動して、読み可能とすることが可能です。

そのような設定であるならアウトですね。

参考リンク
Page Top

要するに anchor.png[16]

X-update[12] の一般設定を次のように設定することを強くお勧めします。
※ .php パーミッションについては、各サーバーのマニュアルをよく読み、マニュアルに記載がある場合は、そちらを指定して下さい。

mainfile.php が 0400 で動くサーバーの場合
書き込み可ファイル パーミッション600
書き込み可ディレクトリ パーミッション700
.php パーミッション※600

mainfile.php が 0404 で動くサーバーの場合
書き込み可ファイル パーミッション606
書き込み可ディレクトリ パーミッション707
.php パーミッション※604

mainfile.php が 0444 でしか動かないサーバーの場合
書き込み可ファイル パーミッション666
書き込み可ディレクトリ パーミッション777
.php パーミッション※644

Last-modified: 2013-08-31 (土) 01:27:12 (JST) (4680d) by nao-pon
ページ別名: 未設定
ページオーナー: nao-pon
サイト管理者: nao-pon

Links list

(This host) = https://xoops.hypweb.net

  1. (This host)/modules/UsersWiki/person/nao-pon/blog/2013-08-16
  2. (This host)/modules/UsersWiki/person/nao-pon/blog/2013-09-09
  3. (This host)/modules/UsersWiki/person/nao-pon
  4. (This host)/modules/UsersWiki/person/nao-pon/blog
  5. (This host)/modules/UsersWiki/?cmd=rss&p=nao-pon%2Fblog
  6. (This host)/modules/UsersWiki/person/nao-pon/blog/2013-08-30#gf7c6cc7
  7. (This host)/modules/UsersWiki/index.php?cmd=lsx&rtag=Web
  8. (This host)/modules/UsersWiki/index.php?cmd=lsx&rtag=%A5%BB%A5%AD%A5%E5%A5%EA%A5%C6%A5%A3
  9. (This host)/modules/UsersWiki/index.php?cmd=lsx&rtag=%B6%A6%CD%AD%A5%B5%A1%BC%A5%D0%A1%BC
  10. http://lolipop.jp/info/news/4149/
  11. (This host)/modules/xpwiki/127.html
  12. (This host)/modules/xpwiki/125.html
  13. (This host)/modules/UsersWiki/person/nao-pon/blog/2013-08-30#dcd7ec6a
  14. (This host)/modules/UsersWiki/person/nao-pon/blog/2013-08-30#o19922a8
  15. http://whmscripts.net/misc/2013/apache-symlink-security-issue-fixpatch/
  16. (This host)/modules/UsersWiki/person/nao-pon/blog/2013-08-30#r2087d3a