Re: apache2+ikiwiki: проблема с suid wrapper
On 2012.08.16 at 11:26:20 +0200, Alex Mestiashvili wrote:
> например:
> есть сайт который крутится под suphp и скрипты запускаются от юзера xxx.
>
> к этому сайту прикручен webdav через который можно редактировать скрипты.
> для того чтобы скрипты допустим в /var/www/xxx c ownership xxx были
> видны как www-data для вебдав
> cоздаем еще одну директорию /var/www/xxx_dav которую монтируем следуюшим
> образом:
> bindfs -o create-for-user=xxx,create-for-group=xxx -u www-data -g
> www-data /var/www/xxx /var/www/xxx_dav
> теперь все файлы в /var/www/xxx_dav видны как www-data и их можно
> редактировать, создавать новые и т.д. ,
> при этом в /var/www/xxx файлы видны как созданые от xxx.
> собственно через webdav вы редактируете файлы в /var/www/xxx_dav , а
> скрипты запускаются веб сервером в /var/www/xxx .
1. Вопрос в том, что является в системе более дефицитым
ресурсом - user_id или количество смонтированных файловых систем.
2. Типичная security by obscurity. Здесь для того чтобы взломать сайт
через дырку в скрипте, нужно всего лишь знать, где именно в файловой
системе лежит rw-копия скрипта.
Ну либо надо скрипты в chroot запускать, чтобы доступа к rw-копиям себя
у них не было в принципе. А системный вызов chroot работает только от
рута, да и cgi-environment переписывать придется. В общем - куча новых
security implications.
Reply to: