www-data tulajdunú php fájlok tiltása apache-ból

Security-all

Üdv!

Abban szeretnék segítséget kérni hogy hogyan lehet letiltani az apache-al, hogy lefuttasson egy olyan php fájlt aminek az UID-ja 33(www-data). Több olyan apache modult is láttam ami használja a fájlok UID-ját, épp csak a tiltásra nem sikerült találnom semmit a google-ben. Mivel a szerveren kell fájlokat feltölteni, és a php fejlesztők odafigyelésére nem lehet alapozni, ezért lenne fontos. Elszánt vagyok, ha valami spéci apache modult kell felrakni nem baj, de azért forrásban ne kelljen turni ha lehet. Ja és CGI-is PHP megoldást sem szeretnék ha lehet. Jó nekünk a beépített modulos.

Köszönöm

  • 3042 megtekintés

( unstar | 2008. 04. 08., k – 19:45 )

valami access control segíthet... nálam rsbac szépen megoldja.

( janoszen v | 2008. 04. 08., k – 20:03 )

suphp-val lehet próbálkozni, de masszív géperőforrást tud enni. Sztem nézegesd meg mégis csak a FastCGI-t, nagyon kiválóan működik az.

( uid_14401 | 2008. 04. 08., k – 20:55 )

bocs, lehet hogy nagyon hülyeség amit írok, de nem lehetne egyszerűen letiltani a chown parancsot a felhasználóknál?

egyébként (tanulás végett kérdezem) miért baj ha a www-data futtat php-t?

-----------------------------
Ubuntu Gutsy Gibbon

Nem a chown paracsal van probléma. A php szkriptek eleve www-data-val futnak default beállításoknál, így a feltöltött fájlok is csak www-data-val jöhetnek létre. Egyszerúen csak nem szeretném hogy feltöltött fájlt lehessen futtatni.(Gondolom értehető hogy nem szeretném hogy egy feltöltési bug miatt bárki php szkriptet futtathasson a szerveren)

aha, szóval egy php szkriptet nem feltétlenül a tulajdonosa futtat...
akkor nekem miért nem megy vajon a wordpresemben a webes css módosítás? azt hittem azért mert én vagyok a tulaj... ha átpasszolom a cuccot az apachenak akkor megy...

-----------------------------
Ubuntu Gutsy Gibbon

( taxy | 2008. 04. 09., sze – 01:09 )

Jók vagyonk!
ModSecurity-vel megcsináltam. Nem volt egyszerű, sok rigojája van. Pl állítsak be a szervernek valódi host nevet, meg ilyenek...

Félig irónia volt. :)
Amúgy meg elég rosszul esett hogy nem indult el az apache, és ilyen dolog miatt. Kezdő vagyok és a hostname parancsot nem volt kellemes ilyen helyzetben megismerni. A másik meg az volt hogy nem volt benne az alap repositoryban ez a modul, és külön kellet összevadászni.

( norel | 2008. 04. 09., sze – 11:53 )

Csak tulajdonos alapjan szabad kulonbseget tenni? Utvonal?
Csak mert esetleg apparmor meg finom lehet, es azt nem csak erre az egy dologra hasznalhatod.

Azóta a csoportot is figyelem, és a chmod jogokat is. Egész jó kis szabályrendszer van már. Monjuk amellett hogy a referenci hozzá nem igazán átfogó , és a felépítése sem tetszik, még hibát is találtam benne. a SCRIPT_MODE a valóságban nem úgy működik mint ahogy ott le van írva. És ezt a mod_sec-et egyáltalán nem csak erre lehet használni. De egyenlőre csak erre fogom használni. Mert a session get post-ba nem szólok bele, csak ha külön kérik. És az útvonalba sem, az ráadásul nagyon sokféle, és folyamatos változásban van.