2006年7月10日

[Apache-Users 6252] Re:CGIの安全な実行

** Apache ユーザーズメーリングリスト **
** 注意:このメールへの返信は Apache-Users へ行きます **

もりもとです

>  先のメールでは、言葉が足りなかったのですが、目的としては、
> システムにあまり詳しくないユーザにCGIを使ってもらう事なので、
> 「他のバーチャルサーバに悪さができない」、「簡単に動かせる」

> などが必須となってきます。
>
>  suexecの場合は、特にファイルのパーミッションを適切に設定
> しなければならないので、サービスになるか色々とテストしてみます。

「悪さ」の中に、他のバーチャルサーバー内の、第三者読み取り権限のあるファイル
をのぞき見することが、
含まれない場合は、suexec
含まれる場合は、jail
ですね。
jailのほうは、非常にセキュアなのですが、
ユーザディレクトリの下にシステムのファイルが見えたりするので、
よくわかってないユーザに、これはいったい何かと問いつめられたり、
FTPでログインしたときに見えるディレクトリ構成が、普通のサーバーと若干
違ってくるので、初心者向けのホームページ構築本通りにできず、質問の嵐に
なったりという・・妙なトラブルの可能性がつきまといます。
suexecのほうは、使い方は断然簡単、ですね。

suexec時のパーミッションに絡む問題は、FTPサーバーの設定
(アップロードしたファイルのデフォルトのパーミッションなど)や、
umaskを設定することで、ある程度回避できます。

が・・・巷のよくわかってないCGI作者の中には、
CGI実行ファイルのパーミッションは755、データファイルのパーミッションは666
などと指定している場合もあり、これを、よくわかっていないユーザが
鵜呑みにして使うと、他のバーチャルサーバーから、ありとあらゆる悪さしが
放題になってしまいますので・・・
これは、トレードオフ、ですね。。

- YAMANEKO / Mao
http://yamamaya.com/

--
入退会・変更・配送一時停止は以下へ
http://mm.apache.jp/mailman/listinfo/apache-users

投稿者 xml-rpc : 2006年7月10日 10:57
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/39277
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。