作者 主題: 對suPHP的疑問  (閱讀 3892 次)

0 會員 與 1 訪客 正在閱讀本文。

darren2000

  • 懷疑的國中生
  • **
  • 文章數: 82
    • 檢視個人資料
對suPHP的疑問
« 於: 2009-09-04 11:21 »
用suphp讓web server讀取使用者網頁時是以該使用者的權限,
這樣可以解決以前用www權限造成的安全問題,
但是有個疑問,用suphp讀取資料時是以該使用者的權限,
對使用者檔案而言是具有最高權限(rwx),這樣不就更危險嗎?
有點像是web server跑root權限,只不過被限制在使用者的空間內。 :(

Darkhero

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3728
  • 性別: 男
    • 檢視個人資料
    • ㄚ凱隨手紀
回覆: 對suPHP的疑問
« 回覆 #1 於: 2009-09-04 11:57 »
這是兩種想法的差異...

對使用者個人來說是危險,但是對系統來說是安全.. :p ..
希望我們的討論是為了把問題解決,而不是爭論誰對誰錯.
『灌水才是重點,發文只是順便』
『我寧可讓不會釣魚的工程師餓死,也不想讓會餓死的工程師去攪沉公司....』
Blog: http://blog.darkhero.net/
秘密基地: http://www.darkhero.net/comic/
目前服務的網站: http://www.libook.com.tw/

ricky

  • 實習板主
  • 鑽研的研究生
  • *****
  • 文章數: 669
    • 檢視個人資料
    • Ricky 碎碎唸
回覆: 對suPHP的疑問
« 回覆 #2 於: 2009-09-04 12:29 »
用suphp讓web server讀取使用者網頁時是以該使用者的權限,
這樣可以解決以前用www權限造成的安全問題,
但是有個疑問,用suphp讀取資料時是以該使用者的權限,
對使用者檔案而言是具有最高權限(rwx),這樣不就更危險嗎?
有點像是web server跑root權限,只不過被限制在使用者的空間內。 :(
這樣的觀念有點問題喔
一般來說web server是用apache或是nobody的身份在執行
而網站檔案的擁有人絕對不可以跟web server的執行身份相同
這是個很危險的動作
我的symfony作品:YOMOpets 寵物誌
有興趣可以一起來討論symfony喔
我的部落格:http://ricky.ez2.us/

darren2000

  • 懷疑的國中生
  • **
  • 文章數: 82
    • 檢視個人資料
回覆: 對suPHP的疑問
« 回覆 #3 於: 2009-09-04 18:14 »
這樣的觀念有點問題喔
一般來說web server是用apache或是nobody的身份在執行
而網站檔案的擁有人絕對不可以跟web server的執行身份相同
這是個很危險的動作

我知道,所以才對suPHP運作方式感到疑惑,應該要強化安全變成對使用者不安全
如同二樓大大所講,看得角度不同
« 上次編輯: 2009-09-04 18:27 由 darren2000 »

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5401
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
回覆: 對suPHP的疑問
« 回覆 #4 於: 2009-09-04 21:49 »
suphp 並不是因為安全才出現的吧?
如果認為 suphp 用該使用者的權限產生檔案會有安全問題... 那麼... 請問那些 php 或 suphp 程式是怎麼傳上來的? 不是一樣可以弄出與經由 suphp 產生的檔案一樣?

darren2000

  • 懷疑的國中生
  • **
  • 文章數: 82
    • 檢視個人資料
回覆: 對suPHP的疑問
« 回覆 #5 於: 2009-09-04 22:53 »
suphp 並不是因為安全才出現的吧?
如果認為 suphp 用該使用者的權限產生檔案會有安全問題... 那麼... 請問那些 php 或 suphp 程式是怎麼傳上來的? 不是一樣可以弄出與經由 suphp 產生的檔案一樣?

sorry,suPHP最初原意我並不清楚,嚴格來講不算是安全模組.
不過在一些共用主機的環境內,如果apache是跑www權限,
則a使用者就可以用一些方法看到b使用者的隱密檔案

假如使用suPHP雖然可以避免這個問題,
但透過webshell去執行rm,則該使用者的目錄就全掰了.


twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5401
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
回覆: 對suPHP的疑問
« 回覆 #6 於: 2009-09-04 23:20 »
但透過webshell去執行rm,則該使用者的目錄就全掰了.
問題是... 誰放上 webshell 呢? 該目錄的權限不是應該是該使用者才能寫入嗎? 自己放上一個程式, 去刪除自己的檔案, 並沒有什麼問題啊.
如果程式是用 ftp 或 ssh 放上的... 不用透過 webshell... 直接用 ftp/ssh 不也一樣可以做到 rm 整個使用者目錄嗎?

Darkhero

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3728
  • 性別: 男
    • 檢視個人資料
    • ㄚ凱隨手紀
回覆: 對suPHP的疑問
« 回覆 #7 於: 2009-09-05 01:01 »
我想重點在於可能使用者自己放上去的程式是有漏洞的..
導致被放入 webshell ...
而要是用 suphp 的話..至少災情會侷限在該使用者個人的檔案...
而不會括及到其他使用者的資料...

這點對於虛擬主機來說很重要... 個人造業個人擔~
希望我們的討論是為了把問題解決,而不是爭論誰對誰錯.
『灌水才是重點,發文只是順便』
『我寧可讓不會釣魚的工程師餓死,也不想讓會餓死的工程師去攪沉公司....』
Blog: http://blog.darkhero.net/
秘密基地: http://www.darkhero.net/comic/
目前服務的網站: http://www.libook.com.tw/