2006年7月10日

[Apache-Users 6255] Re:CGIの安全な実行

** Apache ユーザーズメーリングリスト **
** 注意:このメールへの返信は Apache-Users へ行きます **

川野です。

>  たとえば、わざとCPUやメモリのリソースを食う処理を入れた場合も防ぐ
> ということでしょうか。CGIの実行時間での制御はできたと思いますが、そ
> れ以外の制御ができるかどうかはわかりません。


はい、CPUの制限は、なんかモジュールがあったような気がします。
CGIに限れば、limitが、いやlimitもダメですね。
suExecに実装するのが、一番スマートですね。


>  suExecの場合は、主にCGIの実行ユーザの制御となります。
>
>  また、suExecを使うと「簡単に動かせる」とは離れてしまいます。いくつ
> かの制限が加わるので、suExecを使わないときよりかは動かしにくくなりま
> す。


そうなんですよね。知っている人からすれば、そんなに困難な制限では、
ありませんが、フリーのCGIをアップロードすれば、動くと思っている人には、
かなり難しいのではと、おもいます。

>  「他のバーチャルサーバに悪さができない」と「簡単に動かせる」の両立
> は難しいと思います。
>  「他のバーチャルサーバに悪さができない」を実現するには、処理の抑制
> がどうしても必要となり、「簡単に動かせる」と離れてしまいます。その逆
> もいえます。
>
>  目的の優先順位をつけて並べると、何かヒントが見つかるかもしれません。

1.ファイルをアップ+実行権の設定ぐらいで、大抵のCGIを動かせるようにしたい。

2.セキュアな設定ができるユーザは、データディレクトリとCGIディレクトリを分けたり、
  cgiが500でも動いたりするようにしたい。
4.ユーザがFTPなどでアクセスできるエリアは、ユーザのファイルとログぐらい。
3.サーバリソースの利用制限


そもそも、CGIって、まだ使われているんですかね。それよりも、「PHPが
動かせます。」の方が良いような気もしてきました。

--
入退会・変更・配送一時停止は以下へ
http://mm.apache.jp/mailman/listinfo/apache-users

投稿者 xml-rpc : 2006年7月10日 23:19
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/39324
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。