[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:2573] Re:CGIでFTP機能を作ろうとすると他のユーザーディレクトリも覗けてしまう
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:2573] Re:CGIでFTP機能を作ろうとすると他のユーザーディレクトリも覗けてしまう
- From: smoker <smoker@xxxxxxxxxxxxxxxxxx>
- Date: Sat, 9 Feb 2002 14:54:43 +0900
smokerです。
このMLで聞く内容では無いと思うんですが一応捕捉。
apache+nobody権限って問題で考えずに所有者とかディレクトリの閲覧権限で考え
れば解ると思いますが、、
On Sat, 09 Feb 2002 14:24:04 +0900
kaw <turbolinux@xxxxxxxxxxx> wrote:
> こんにちはKAWです。
>
> 先日なにげに、ファイルのアップロード、ダウンロードをCGIにさせようとおも
> い、FTPができるCGIをアップロードしました。
>
> 現在、FTPソフトでログインしたら自分以外のディレクトリにはいけないように
> しているんですが、このCGIを使うと他のユーザーのディレクトリもみれてしま
> います。
>
> 環境は Turbolinux6.0+Apacheです。
>
> Apacheのnobodyの権限で他のディレクトリまでのぞけてしまうんでしょうか?
もちろん覗けます。
てか普通に考えればnobodyで閲覧することの出来るパーミッションになっていれば
表示できますそれはapache以前の問題だと思います
もしそれが嫌ならばsuexecでも導入すれば良いんじゃ無いんでしょうか?各ユーザ
権限でCGIが起動するためパーミッションが適切で有れば他人のファイルを閲覧す
ることは不可能になります
Nobody権限で動かしていると他人のCGIなんかをまったく別の物に書き換えれたり
中を(ソース)を覗かれるのでイヤンでしょうね
ただ個人で動かしてるサーバだとsuexec関連でCGIが動かなかったり(rootでちょろ
っと書いてしまったりユーザsmokerで作ったファイルをpublicってユーザの公開デ
ィレクトリに置いたらパーミッションや所有者でチェックに引っかかって動かなか
ったりする)して面倒なので私は導入した後に外しましたけど わらい
>
> 気味が悪いのでなんとかしたいのですが、、、
>
nobody権限で動作している以上は免れません、嫌なら前記の通りにsuexecの導入を
お勧めします
> どなたかご教授おねがいします
>
> --
> <kaw>
>
--
-------------------------------------------------------
smoker<smoker@xxxxxxxxxxxxxxxxxx>
http://smokerz.zone.ne.jp/
PGPFingerPrint:
7459 3B1F CDFF 1F86 37CA BF8A E106 D26E 3CC6 32C2
-------------------------------------------------------
--[PR]------------------------------------------------------------------
◆◇◆野村ファンドネット証券は投資信託専門のオンライン証券会社◆◇◆
そろそろ投資をお考えですか?「ツミタテルーム」は月々1万円で
気軽にファンドが買えます。購入代金は自動引落しで手間いらず。
インターネットやお電話でお手続きも簡単です。詳しくはこちらへ。
http://ad.freeml.com/cgi-bin/ad.cgi?id=aI2vm
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp