人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

centOS5でwebサーバを構築しています。webサーバはapache2.2.3です。
現在公開ディレクトリに例えば

eval{ $command = `ps alx`; };

print <<"EOM";

$command

EOM

といった内容のcgiファイルをFTPで置いてアクセスすると、
サーバのメモリログが見れてしまいます。
セキュリティーホールでは?と思っています。
cgi自体は動かし、このようなコマンドを制限するにはどのようにすればよいでしょうか。

ざっと検索して suEXEC を設定すればよいような気もしたのですが、
他にもありましたら教えて下さい。

●質問者: kou32rr
●カテゴリ:コンピュータ インターネット
✍キーワード:CGI Command FTP print PS
○ 状態 :終了
└ 回答数 : 1/1件

▽最新の回答へ

1 ● b-wind
●60ポイント

サーバのメモリログが見れてしまいます。

セキュリティーホールでは?と思っています。

この例の場合、正当なユーザーが正当なアクセス権限を持ってプログラムを実行しているだけなので、

単独では「セキュリティホール」とは呼べないです。


また、suEXEC は実行するユーザーを変えるのが主目的なので、誰でも実行できる ps コマンドなどを制限することはできません。

また、コマンドを制限しても /proc ファイルシステムを読み込めばいいだけなので、あまり意味もありません。


共用サーバーなどの様にほかのユーザーのプロセスを隠蔽したい場合は、chroot / jail などの仕組みを使います。

ただし、Linux の chroot はプロセス空間までは分けられないので、厳密にやろうとすると FreeBSD の jail か、

FreeBSD jail - Wikipedia

VMWare などの仮想サーバーソフトウェアを使用することになります。

◎質問者からの返答

ありがとうございます。

jailについてちょっと検索しましたが、

FreeBSDのコンテンツが多いんですね。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ