Hallo,
Een security vraagstuk.
Stel ik geef een klant op een Linux webserver shell-access (hetgeen ik niet gauw zal doen .. maar toch). Hij kan dan files 'executable' permissies geven .. en zo bijvoorbeeld 'wget' in zijn directory zetten en uitvoeren. Wie weet ook wel IRC achtige dingen of mini-webservers draaien.
Dit lijkt me een groot securityprobleem. Dus mijn vraag is ... HOE kun je voorkomen dat gebruikers op (in dit geval) een webserver daemons draaien of programma's uitvoeren ? Voor zover ik weet bestaat er geen chmod-commando op een parent-dir die je verbiedt om executable rechten op files te zetten binnen deze directory ... toch ? Voor subdir's heb je dit zelfs nodig natuurlijk.
En zelfs binnen een chrooted shell zou je nog dingen als 'wget' aan de praat kunnen krijgen denk ik.
Is er een 'best-practise' om dit soort zaken het hoofd te bieden ?
Een security vraagstuk.
Stel ik geef een klant op een Linux webserver shell-access (hetgeen ik niet gauw zal doen .. maar toch). Hij kan dan files 'executable' permissies geven .. en zo bijvoorbeeld 'wget' in zijn directory zetten en uitvoeren. Wie weet ook wel IRC achtige dingen of mini-webservers draaien.
Dit lijkt me een groot securityprobleem. Dus mijn vraag is ... HOE kun je voorkomen dat gebruikers op (in dit geval) een webserver daemons draaien of programma's uitvoeren ? Voor zover ik weet bestaat er geen chmod-commando op een parent-dir die je verbiedt om executable rechten op files te zetten binnen deze directory ... toch ? Voor subdir's heb je dit zelfs nodig natuurlijk.
En zelfs binnen een chrooted shell zou je nog dingen als 'wget' aan de praat kunnen krijgen denk ik.
Is er een 'best-practise' om dit soort zaken het hoofd te bieden ?
[ Voor 17% gewijzigd door BoXie op 28-07-2005 01:03 ]
/u/31090/bla.png?f=community)
:strip_icc():strip_exif()/u/105199/crop5cb76c6d18020_cropped.jpeg?f=community)
:strip_exif()/u/2140/tux2.gif?f=community)