apache php safe_mode

HackForum

apache php safe_mode#
Zdravím,

Zo všetkých strán počujem aká je safe_mode kravina, že jeho zapnutie aj tak ničomu nepomôže, dokonca v PHP 6 má byť odstránený. Predsa, keď je zapnutý safe_mode aj ked nieje nijak zvlášť zabezpečený (žiadne disable_functions atd..), neexistuje spôsob ako kompromitovať server. V nastavení php sa tak nevyznám, ale zrejme všetko, čo sa zabezpečuje safe_mode sa dá nastaviť aj nejako inak ale aj tak...
Ako to teda je?
(odpovědět)
Ľudo | 78.142.140.*20.7.2009 22:28
re: apache php safe_mode#
safe_mode ma svuj vyznam, pokud jej spravce umi spravne skloubit s ostatni konfiguraci serveru, coz se bohuzel mene zdatnym administratorum ne vzdy podari, a proto o teto direktive siri bludy v tom smyslu, ze je zbytecna nebo dokonce kontraproduktivni.
(odpovědět)
Emkei | E-mail | Website | PGP20.7.2009 22:47
re: apache php safe_mode#
No, veľmi často sa stretávam s konfiguráciou safe_mode on, disable_functions novalue, open_basedir no value, sessionpath nastavene na /tmp a pod. Ma pri takejto konfiguracii safe_mode nejaky vacsi vyznam?

Nodporucis nejake zdroje/literaturu?
(odpovědět)
Ľudo | 96.241.175.*20.7.2009 23:03
re: apache php safe_mode#
ne, v takovem pripade uz to safe_mode nezachrani. nejdulezitejsi php bezpecnostni direktivou je vzdy open_basedir, disable_functions by nikdy nemela byt prazdna a sdilene adresare nahravaji k LFI, ale to je na hostinzich bezne...
nejlepsim zdrojem je rozhodne dokumentace k apache.
(odpovědět)
Emkei | E-mail | Website | PGP20.7.2009 23:15
re: apache php safe_mode#
A prečo to safe_mode nezachráni? Skript môže čítať len súbory ktoré vlastní užívateľ s rovnakým uid (áno viem, v prípade súborov vytvorených webserverom je to na riť), funkcie ktoré umožnujú spúštať kód na serveri sú obmedzené, rovnako aj iné nebezpečné funkcie. Neviem ako by mohol teraz potencialny utocnik kompromitovat server. Áno, dáta ostatných užívateľov ak je to webhosting možno ale server je relatívne v bezpečí nie?

(odpovědět)
Ľudo | 192.251.226.*20.7.2009 23:27
re: apache php safe_mode#
safe_mode se obecne obchazi mnohem snadneji nez open_basedir (existuje nespocet bypassu), proto by mela byt vyuzita direktiva disable_functions. navic i se zapnutym safe_modem lze pristupovat k systemovym souborum pomoci urcitych metod, tomu prave brani open_basedir, pokud je nastaven, ale i on neni vsemozny. vsechno se da obejit, ale to neni argumentem pro to, aby ty direktivy zustaly bez povsimnuti.
(odpovědět)
Emkei | E-mail | Website | PGP20.7.2009 23:55
re: apache php safe_mode#
"Vsecho se da obejit". To je to, mna by zaujimalo ako a ako sa branit. Tieto znalosti zaiste nemate z apache dokumentacie. Preto by som rad vedel kde ste ich nabral. Prax? Nejaka literatura? Prisiel ste na to sam?
Samozrejme nechcem tu obhajovať zlu konfiguraciu apache a php. Ale proste, ked je zapnuty safe_mode tak napr. program nesputim ani keby som sa na hlavu postavil. (No mozno nejaka expect_popen ale to je uz hodne zavisle na pouzitych moduloch).
Neexistuje nejaka literatura/clanky ktora sa zaobera konkretne tymto?
(odpovědět)
Ľudo | 212.42.236.*21.7.2009 0:15
re: apache php safe_mode#
ano, praxe je nejlepsi ucitel. vynikajici zkusenost ziskate tak, ze si zkusite sam nakonfigurovat apache + mysql + php a projdete skutecne vsechny direktivy, nejen ty zakladni uvedene v tutorialech. clanku na toto tema je rovnez celkem dost, nikoliv vsak jeden komplexni. vetsinou se zaobiraji pouze jednou konkretni zranitelnosti, proto je potreba jich precist opravdu dost. mnozi spravci si ani neuvedomuji, jake moduly jejich apache obsahuje a uchyluji se pouze k zabezpeceni na urovni PHP, pricemz zapomenou na direktivy apache, mysql a v konecnem dusledku samotny operacni system. jakmile si to zkusite nakonfigurovat vsechno sam, verte mi, ze sam poznate, ktere direktivy utocniky zajimaji a z jakeho duvodu...
(odpovědět)
Emkei | E-mail | Website | PGP21.7.2009 0:38
re: apache php safe_mode#
Ďakujem. Pomohli ste mi aj keď som očakával trochu nejaký príklad zo života ale aj tak:). Dostal som odpoveď na to čo som chcel a zajtra sa pustím do skúmania/dokumentovania.
(odpovědět)
Ľudo | 91.143.91.*21.7.2009 0:43
re: apache php safe_mode#
Když už se tady řeší php a nastavení serveru, měl bych jeden dotaz. Jsou stránky, které obsahují zhurba tento kód:

<?php
$activePage=$_GET["mw"];
if($activePage == ""){
$activePage="uvod";
}
......
include($activePage . ".php");

Tudíž jsou nachylné na php injekci. Stránky se přesunuly na jiný hosting, který má jiné nastavení
a teď při pokusu o php include dostávám jen chybové hlášky typu:


Warning: include(cnt_ftp://...mojestránka.cz) [function.include]: failed to open stream: No such file or directory in /srv3/www/napadenástránka/subdomains/www/!f
unctions.php on line 424

Warning: include() [function.include]: Failed opening 'cnt_ftp://...mojestránka.cz' for inclusion (include_path='.:/usr/share/php:/usr/share/
pear') in /srv3/www/napadenástránka/subdomains/www/!f
unctions.php on line 424

Pokud to chápu dobře, tak je povoleno vkládat obsah jenom z definovaného adresáře..

Existuje ještě jiná možnost jak provést vložení, kromě toho, že si zřídím na hostingu taky účet?

Díky moc předem..
(odpovědět)
Dotaz | 212.42.236.*21.7.2009 8:32
re: apache php safe_mode#
u novych PHP verzi se prace se soubory ulozenymi na jinych serverech rozdelila do dvou direktiv, a sice allow_url_fopen pro otevirani vzdalenych souboru a allow_url_include pro includovani vzdalenych souboru. druha jmenovana je defaultne deaktivovana a z bezpecnostnich duvodu je to tak dobre, jinak nez zrizenim uctu na danem hostingu totiz file incluze nedosahnes.
(odpovědět)
Emkei | E-mail | Website | PGP21.7.2009 11:10
re: apache php safe_mode#
Emkei: Díky moc, doufal jsem že napíšeš ty.
Ještě jeden dotaz, podobný hlášky dostávám i při pokusu o SQL include, respektive jakoukoliv úpravou URL a následným odesláním. Která funkce tohle dělá?
Nějaký způsob jak to obejít? Nebo vhodná literatura? Nechce se mi kvůli tomu číst celou dokumentaci k PHP.
(odpovědět)
Dotaz | 91.198.227.*21.7.2009 11:41
re: apache php safe_mode#
to zalezi vzdy na konkretni chybe, na vine muze byt napr. modul mod_security nebo suhosin.
(odpovědět)
Emkei | E-mail | Website | PGP21.7.2009 12:07
re: apache php safe_mode#
Dobrý, už jsem na to přišel, ale i tak díky..
(odpovědět)
Dotaz | 90.177.146.*21.7.2009 13:42
re: apache php safe_mode#
@Emkei, mohl by jsi sem, prosim, hodit "spravne" bezpecne hodnoty php.ini, resp. vystup phpinfo();? Urcite to pomuze nejen mne. Dekuji.

(predpokladejme, ze nemam zadne specialni moduly, jen php s gd, gzipem, zend atp..).

----------
Cow power by Gentoo...
(odpovědět)
Anonymous_ | E-mail25.7.2009 2:47
re: apache php safe_mode#
a co cez stream? php://input
(odpovědět)
Janci_ | 213.151.217.*28.7.2009 13:36

Zpět
 
 
 

 
BBCode