[FUGSPBR] problema de seguranca!!

Fernando Costa de Almeida falmeida em computeasy.com.br
Qua Jul 14 14:17:36 BRT 2004


 Hmm, o que poderia ajudar tbem eh o safe_mode. Eu tenho um hosting aq
tbem, e habilito o safe_mode globalmente e pra cada site de cliente
coloco uma diretiva no apache do tipo

<Location "/">
        php_admin_value open_basedir "<docroot do cliente>:/tmp"
</Location>

e o /tmp eh montado como noexec, nosuid, etc..

 Assim pelo menos evito que ele possa abrir arquivos fora do diretorio
do site dele. Porem como ele tem acesso ftp, nada impede que ele faca o
upload de um script e o execute via um system do php, correto?
 Acho q o unico modo de ter uma seguranca razoavel eh chrootar o apache,
mas nunca cogitei isso.. vc faz isso ai?

 Abracos!


_______________________________________
ALMEIDA, Fernando Costa de
Computeasy Informática
www.computeasy.com.br
BSD USER BSD050945
ICQ 72293951

> -----Original Message-----
> From: fugspbr-fugspbr.org-bounces em fugspbr.org 
> [mailto:fugspbr-fugspbr.org-bounces em fugspbr.org] On Behalf Of 
> Rodrigo Graeff
> Sent: Wednesday, July 14, 2004 12:01 PM
> To: fugspbr em fugspbr.org
> Subject: Re: [FUGSPBR] problema de seguranca!!
> 
> 
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> ~       Perfeito, também faço isso nos meus códigos, a questão é que
> quando tu tem um hosting ou algo do gênero, tu não vai exigir este
> tipo de código do teu cliente (que eu acho que é o caso do amigo da
> lista) e infelizmente vais ter que bloquear de maneira geral, ou seja,
> irá desligar esta feature do php.
> ~       Justo que o amigo da mensagem anterior falou, desligando o
> register_globals ele não passaria o path e de "certo" modo ajudaria,
> porém se o fulando que está mandando os comandos via include conhece
> um ambiente unix, vai se virar usando os paths manuais, por isso
> acredito que desligando o fpopen do php resolveria totalmente 
> o problema.
> 
> Abraços,
> 

_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/



Mais detalhes sobre a lista de discussão freebsd