いつもお世話になります。
CGIのセキュリティについて質問です。
巷で出回っている、telnet.cgiというのがあります。
これをテストしてみたのですが、パーミッション700以外は
このCGIで参照(LS)及び、VIやVIEWコマンドで参照出来てしまいます。
これを防ぐにはどうしたら良いか頭を痛めています。
このファイル名を検索して削除としてもファイル名を変えられたら
分かりませんし、いたちごっこなので何かいい手立てがありましたら
知恵を貸してください。
また、Web Proxyなるものもあり、これで悪さをされると・・・
と思うと困り者です。いっそCGIを開放やめればいいのですが、
そうもいかないもので。
どうぞ宜しくお願いします。
> CGIのセキュリティについて質問です。
> 巷で出回っている、telnet.cgiというのがあります。
> これをテストしてみたのですが、パーミッション700以外は
> このCGIで参照(LS)及び、VIやVIEWコマンドで参照出来てしまいます。
> これを防ぐにはどうしたら良いか頭を痛めています。
答えにはなりませんが、エンドユーザへのCGIの解放なんておやじには信じられない行為としか思えません。
おやじは身内だけなので解放してますが、おやじがいろいろCGIをテストしたりするので万が一事故るとまずいため、SuEXECで自分の責任範囲を超えてトラブらないようにしています。SuEXECは悪意を持った行為には役立たずですから、バグでファイルを消してしまったりしないように事故防止で使っているだけです。(セキュリティとしてはほとんど意味なしということです。)
おやじなら、考えるまでもなく頭を痛めているぐらいで済んでいるうちに、即刻エンドユーザへのCGIの解放を止めますね。トラブルが起こることがわかっているのに放置したら管理者は当然責任を問われるでしょうし、そこまでいかなくてもトラブルに巻き込まれたら大変ですから・・・。
どうしてもというなら、手間は大変ですが下記の2番目の方法で自分が管理して許可するぐらいですかね。但し、これも公開されているフリーCGIのみでしょうね。自作CGIなんて問題がないかどうかはとても妥当性検証できませんから。
http://www.aconus.com/~oyaji/tips/apache_tips3.htm
> このファイル名を検索して削除としてもファイル名を変えられたら
> 分かりませんし、いたちごっこなので何かいい手立てがありましたら
> 知恵を貸してください。
>
> また、Web Proxyなるものもあり、これで悪さをされると・・・
> と思うと困り者です。いっそCGIを開放やめればいいのですが、
> そうもいかないもので。
鷹の巣さんが当たり前のことをきっちり整理されていますので、一度、下記をご覧になったらいかがでしょうか?
http://sakaguch.com/Security.html#Rental
おやじさん 回答有難うございます。やっぱりそうですよね。
鷹の巣さんの所も参考になりました。
suexecですが、ドキュメントルートがデフォルトでは、/var/www
なので、/homeにしてRPMを再コンパイルしてみているのですが、
何故かhttpd-suexecが作成されないので、変更がされない状態です。
Fedora core4で行っているのですが、いっそのことRedhatと同等の
CentOSで行おうかとも思っていますが。でも、エラーも出ていないよ
うだしソースでコンパイルした方がいいのかな?
では