centOS5でwebサーバを構築しています。webサーバはapache2.2.3です。

現在公開ディレクトリに例えば

eval{ $command = `ps alx`; };

print <<"EOM";

$command

EOM

といった内容のcgiファイルをFTPで置いてアクセスすると、
サーバのメモリログが見れてしまいます。
セキュリティーホールでは?と思っています。
cgi自体は動かし、このようなコマンドを制限するにはどのようにすればよいでしょうか。

ざっと検索して suEXEC を設定すればよいような気もしたのですが、
他にもありましたら教えて下さい。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2007/11/12 13:19:29
  • 終了:2007/11/19 13:26:41

回答(1件)

id:b-wind No.1

b-wind回答回数3344ベストアンサー獲得回数4402007/11/12 22:39:50

ポイント60pt

サーバのメモリログが見れてしまいます。

セキュリティーホールでは?と思っています。

この例の場合、正当なユーザーが正当なアクセス権限を持ってプログラムを実行しているだけなので、

単独では「セキュリティホール」とは呼べないです。


また、suEXEC は実行するユーザーを変えるのが主目的なので、誰でも実行できる ps コマンドなどを制限することはできません。

また、コマンドを制限しても /proc ファイルシステムを読み込めばいいだけなので、あまり意味もありません。


共用サーバーなどの様にほかのユーザーのプロセスを隠蔽したい場合は、chroot / jail などの仕組みを使います。

ただし、Linux の chroot はプロセス空間までは分けられないので、厳密にやろうとすると FreeBSD の jail か、

FreeBSD jail - Wikipedia

VMWare などの仮想サーバーソフトウェアを使用することになります。

id:kou32rr

ありがとうございます。

jailについてちょっと検索しましたが、

FreeBSDのコンテンツが多いんですね。

2007/11/12 23:10:44

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません