Sanırım kavram karmaşası yaşıyoruz :) Örnek üzerinden gidelim mi ? :
çok basit herkesin home dizini çersinde public_html var değilmi. Ödevi > oraya koymak dumundalar web sayfası olması için değilmi. ahmet ve mehmet isimli iki öğrenciniz var, odevlerini yayinlamalari icin sunucuda ahmet ve mehmet isimli iki adet kullanici actiniz. Odevlerini koyacaklari ana dizinleri /home/ahmet/public_html /home/mehmet/public_html şeklinde. Dizinlerin izinleri de aşağıdaki gibi: -rwxr-x--- 1 ahmet httpd /home/ahmet/public_html ve -rwxr-x--- 1 mehmet httpd /home/ahmet/public_html Ahmet ve Mehmet kendi dizinlerinde diledikleri gibi yazma cizme islemi yapabilirken, apache kullanıcısı php betiklerini derleyip web üzerinden yayınlayabilmek için okuma ve calistirma iznine sahip. Sizin de yapınız bu şekilde değil mi ? (değilse başka tabii..) Bu durumda apche'ye (bir php script yazarak) ahmet dizininde bulunan falanca.php'yi mehmet dizinine kopyala nasil dedirtebiliriz ? Nitekim apache kullanicisinin mehmet dizinine yazma yetkisi yok. php dosyasının kaynak kodunu web üzerinden de görüntüleyemeyeceklerine göre.... Zira, dediğiniz gibi yapmak durumunda olunsa, o halde tüm hostingciler vs. sistemlerinde jail ortamı çalıştırmak zorunda kalırlardı. Nitekim aynı web sunucu üzerindeki herkes, birbirinin dizinlerini, uygulamalarını vs. görüntülerlerdi öyle değil mi ? İyi o zaman > normal bir server kurduğunuzd apachein okuması icin onun grubuna izin > vermeniz gerekir değilmi? eğer öyle izin veriyorsanız o takdirde php > yi bilen bir kişi (yada ufak internet araştırması yapan kişi) başka > public_html ler altına erişebilecek scripti yazabilir. Çünkü onun > scriptinin calışması gereken grup ile diğer scriptin grubu aynı ve > herkesin dizini public_html olduğuna göre dosya adını bulmakta kolay > örneğn hw1.php ise onu kendi tarafına aktarabilir. > > ama jail ile birbirinden ayırmış olursunuz herşeyi. > > > Kolay gelsin > > Murat Gezer > > 2010/10/3 Cagri Ersen <[email protected]>: > > Bir seyi merak ettim: > >> > >> O zaman şöyle diyelim > >> > >> > >> /home/test/public_html/index.php > >> > >> > >> adlı bir ödeviniz olsun > >> > >> > >> mgezer adlı kullanıcı > >> > >> vi /home/test/public/index.php > >> > >> diyerek odevinizi okuyup kopyalayabilir :) > > > > mgezer kullanicisi, sahibinin kendisi olmadığı (grubu da apache olan > > diyelim) mod'u 750'ye set edilmiş bir dizini/dosyayı nasil > > goruntuleyebilecegini anlayamadim. > >> > >> > >> > >> chroot yaptığınız zaman birbirinden absorbe etmiş olursunuz. > >> > > -- > > Cagri Ersen > > http://www.syslogs.org > > > > > > _______________________________________________ > > Linux-guvenlik mailing list > > [email protected] > > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > > Liste kurallari: http://liste.linux.org.tr/kurallar.php > > > > > _______________________________________________ > Linux-guvenlik mailing list > [email protected] > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > Liste kurallari: http://liste.linux.org.tr/kurallar.php > -- Cagri Ersen http://www.syslogs.org
_______________________________________________ Linux-guvenlik mailing list [email protected] https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik Liste kurallari: http://liste.linux.org.tr/kurallar.php
