Archiv verlassen und diese Seite im Standarddesign anzeigen : Webserver absichern
Ich bin gerade dabei meinen Webserver neu zu konfigurieren. Jetzt habe ich einfach mal ein kleines Perlskript geschrieben.
#!/usr/bin/perl
open(datei, "</etc/passwd") || die "Datei wurde nicht gefunden\n";
while(<datei>){
print $_;
}
close(datei);
Resultat ich kann alle Datein einfach auslesen. Das einzige was mir so spontan einfällt, um das zu verhindern wäre eine Chrootumgebung, aber gibt es noch andere Möglichkeiten? Wie kann ich am besten verhindern das solche Skripte Systemdateien auslesen können?
Als Webserver setzte ich lighttpd ein System ist Suse 10 x86_64
bluesurfer
10.05.07, 13:26
verstehe ich jetzt nicht.
Das ist ja wohl klar dass du auf deinem eigenen Webserver ein Skript schreiben kannst das deine Dateien ausliest.
Aber ein anderer kann ja keine Skripte auf deinem Webserver schreiben
bzw. speichern.
Wenn du natürlich selber Skripte auf deinem Server speicherst, die deine
Passwörter auslesen dann freuen sich die anderen.
Ich habe aber noch andere user mit auf dem Server und die können sich ihre Skripte schreiben per ftp hochladen und in ihrem vhost ausführen. Auf einer Singelusermaschine wäre mir das völlig egal.
Du solltest dir erst Sorgen machen, wenn das Auslesen der /etc/shadow so funktionieren sollte. Oder stehen etwa bei dir die verschlüsselten Passwörter in der world-readable /etc/passwd drin? :eek:
Nein stehen sie nicht, und das auslesen der /etc/shadow funktioniert so nicht.
Aber dennoch finde ich es so nicht in Ordnung, ein normaler Webuser sollte halt nicht im System so ohne weiteres einfach lesen dürfen.
Doch sollte er. In der passwd stehen Dinge drin, die für normale User ganz praktisch zu wissen sind. Übrigens hätte da auch ein "more /etc/passwd" als user gereicht...
Solange Files world-readable sind, kann auch der User, mit dem der Apache läuft, sie lesen.
BedriddenTech
10.05.07, 15:34
Daß die /etc/passwd lesbar für jeden ist, ist durchaus so gewollt. Du solltest jetzt auf keinen Fall in Panik die Rechte z.B. der /etc/passwd einschränken. Wenn du wirklich verhindern willst, daß diese Dateien mit Webskripten ausgelesen werden können, mußt du den Lighty in ein chroot-Gefängnis zwingen.
Naja Panik ist vieleicht etwas übertrieben. Aber danke für deine Antwort.
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.