Top過去ログ目次掲示板

作成日:2006年06月18日 作成:おやじ
掲示板で過去に質問された内容です。

No.6106 CGIについて


No.6106 投稿時間:2006年06月18日(Sun) 01:41 投稿者名:tucker URL:
タイトル:CGIについて

いつもお世話になります。
CGIのセキュリティについて質問です。
巷で出回っている、telnet.cgiというのがあります。
これをテストしてみたのですが、パーミッション700以外は
このCGIで参照(LS)及び、VIやVIEWコマンドで参照出来てしまいます。
これを防ぐにはどうしたら良いか頭を痛めています。
このファイル名を検索して削除としてもファイル名を変えられたら
分かりませんし、いたちごっこなので何かいい手立てがありましたら
知恵を貸してください。

また、Web Proxyなるものもあり、これで悪さをされると・・・
と思うと困り者です。いっそCGIを開放やめればいいのですが、
そうもいかないもので。
どうぞ宜しくお願いします。


No.6107 投稿時間:2006年06月18日(Sun) 05:26 投稿者名:おやじ URL:
タイトル:おやじなら考える余地なしですね。

> CGIのセキュリティについて質問です。
> 巷で出回っている、telnet.cgiというのがあります。
> これをテストしてみたのですが、パーミッション700以外は
> このCGIで参照(LS)及び、VIやVIEWコマンドで参照出来てしまいます。
> これを防ぐにはどうしたら良いか頭を痛めています。

答えにはなりませんが、エンドユーザへのCGIの解放なんておやじには信じられない行為としか思えません。
おやじは身内だけなので解放してますが、おやじがいろいろCGIをテストしたりするので万が一事故るとまずいため、SuEXECで自分の責任範囲を超えてトラブらないようにしています。SuEXECは悪意を持った行為には役立たずですから、バグでファイルを消してしまったりしないように事故防止で使っているだけです。(セキュリティとしてはほとんど意味なしということです。)
おやじなら、考えるまでもなく頭を痛めているぐらいで済んでいるうちに、即刻エンドユーザへのCGIの解放を止めますね。トラブルが起こることがわかっているのに放置したら管理者は当然責任を問われるでしょうし、そこまでいかなくてもトラブルに巻き込まれたら大変ですから・・・。
どうしてもというなら、手間は大変ですが下記の2番目の方法で自分が管理して許可するぐらいですかね。但し、これも公開されているフリーCGIのみでしょうね。自作CGIなんて問題がないかどうかはとても妥当性検証できませんから。

http://www.aconus.com/~oyaji/tips/apache_tips3.htm


> このファイル名を検索して削除としてもファイル名を変えられたら
> 分かりませんし、いたちごっこなので何かいい手立てがありましたら
> 知恵を貸してください。
>
> また、Web Proxyなるものもあり、これで悪さをされると・・・
> と思うと困り者です。いっそCGIを開放やめればいいのですが、
> そうもいかないもので。

鷹の巣さんが当たり前のことをきっちり整理されていますので、一度、下記をご覧になったらいかがでしょうか?

http://sakaguch.com/Security.html#Rental


No.6109 投稿時間:2006年06月18日(Sun) 13:24 投稿者名:tucker URL:
タイトル:Re: おやじなら考える余地なしですね。

おやじさん 回答有難うございます。やっぱりそうですよね。
鷹の巣さんの所も参考になりました。
suexecですが、ドキュメントルートがデフォルトでは、/var/www
なので、/homeにしてRPMを再コンパイルしてみているのですが、
何故かhttpd-suexecが作成されないので、変更がされない状態です。
Fedora core4で行っているのですが、いっそのことRedhatと同等の
CentOSで行おうかとも思っていますが。でも、エラーも出ていないよ
うだしソースでコンパイルした方がいいのかな?
では



掲示板▲頁先頭