[FUGSPBR] Segurança

[Renato - Jet Sites]

Hmm, ler e apagar não vai poder não. Veja:

drwxr-xr-x  10 DOMINIO   www     512 Dec  4 14:15 DOMINIO.com.br

rwx = usuario DOMINIO (ler,escrever/apagar,executar)
r-x = grupo (ler,executar)
r-x = totos (ler,executar)

Logo um domínio poderá apenas LER os arquivos de outro domínio. Sei que 
isso ainda é uma tremenda brecha mas pelo menos os arquivos permanecem 
intactos.
Se não me engano com algumas configurações no PHP você consegue eliminar 
essa falha. De uma lida no manual na parte que fala do safe_mode.



Até mais


-- 
Renato Quinhoneiro Todorov
Administração Linux / Programação
renato em jetsites.com.br
http://www.jetsites.com.br


Guilherme A. Mendes wrote:

>Pessoal,
>
>Por falar em segurança, estou com um problema de segurança em meu
>server. 
>
>Fiz um teste, coloquei um script PHP em um domínio e tentei ler arquivos
>de outros domínios abrindo o arquivo pela path e funcionou! Isto é, não
>deveria obviamente deixar ler arquivos de outros domínios na máquina.
>
>Todos os domínios estão em um dir onde estão corretamente setados os
>owners dos diretórios (cada user tem o seu) mas todos eles estão sobre o
>grupo 'www'. (o apache tb está neste grupo).
>
>O FTP está configurado com o umask 022 (default) e os diretórios dos
>domínios estão assim:
>
>drwxr-xr-x  10 DOMINIO   www     512 Dec  4 14:15 DOMINIO.com.br
>
>Qual é a melhor forma de resolver esta brecha de segurança? Por que se
>eu deixar assim, qualquer um pode ler e apagar arquivos de outros
>domínios.
>
>Desculpe se a pergunta é muito básica, mas é que por default quando
>estou criando dirs pros domínios está indo com esta permissão.
>
>Abraços,
>Guilherme
>

_______________________________________________________________
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/