[FUGSPBR] PHP X Seguranca
Eduardo Augusto Alvarenga
eduardo em netron.com.br
Seg Nov 19 17:30:41 BRST 2001
On Mon, 19 Nov 2001, Ronan Lucio wrote:
> Tenho a intenção de disponibilizar aos nossos clientes a hospedagem
> de páginas PHP porém a minha dúvida é referente a segurança.
>
> Pergunto:
> Caso eu disponibilize isto, será possível os usuários obterem informações
> a nível de segurança do nosso servidor?
> Existe alguma forma de eu disponibilizar isto de forma segura?
>
> Sei que posso disponibilizar na dmz, mas não é isto que eu quero (ainda).
Certifique-se que o PHP irá rodar em "Secure Mode".
Com o secure mode você bloqueia qualquer comando que interaja com o
servidor. Ex. phpinfo, exec, passthru e outras coisas.
Caso você precise que seus usuários executem certos comandos, como a
função "sendmail" você pode criar excessões para isso.
E também não esqueça de adicionar o parâmetro "safe_mode_exec_dir" no seu
php.ini para um diretório qualquer (eu costumo usar /usr/libexec/php).
Assim se um usuário via "passthru" tentar executar um "cat" ou "ls", ele
irá somente aceitar se o binário ou comando estiver no diretório
configurado.
Atenciosamente,
--
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Eduardo Augusto Alvarenga - Analista de Suporte - #179653
Blumenau - Santa Catarina. Tel. (47) 9102-3303
http://www.netron.com.br/~eduardo
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
Mais detalhes sobre a lista de discussão freebsd