Vinnaren i pepparkakshustävlingen!
2017-02-04, 00:56
  #1
Medlem
NineLightsOuts avatar
På flera håll har jag hört att chmod 777 -R - det ska man minsann akta sig för. I mitt fall är det så att jag har projektmappen liggandes i /var/www/html/newproject. Den mappen har chmod 777 -R. Jag är enda användaren på servern, den är min, jag har byggt den, Linux Apache.

Jag förstår att om ett system har fler användare så kan man peka respektive VirtualHost till respektive användares hemkatalog och den användaren är den enda användaren förutom root som har 777 på hemkatalogen, som även innehåller projektmappen.

Kort sagt alla användare har fullständiga rättigheter till en hemsidemapp, men jag är enda användaren (och root), så vad är riskerna i mitt fall?
Citera
2017-02-04, 10:57
  #2
Medlem
När man ska göra ett system säkert/säkrare så måste man hoppa in i lite "såkerhetsparanoja". Det är fel och omöjligt att lista alla möjliga hot och bygga skydd/motmedel mot dessa.

Lyckade attacker sker mot sådana "attackvektorer" som kunstruktörer och systemägaren aldrig kom på var möjligt eller sannolikt.

I ditt fall måste man t.ex fråga sig:
  • Är den en ren LAN-server, eller är det möjligt att surfa till den från internet?
  • Inga dokument och katalogstrukturer ska vara tillåtna att skrivas av httpd/servertjänsten på en publik server. (Speciellt inte om typ PHP/CGI är påslaget).
  • Om helt lokal server: Sitter den på samma ethernet som används av någon dator? (Maskar/trojaner hoter servern.)
  • Utöver webbservern själv och maskinens potential som "erövrad" - Finns det på den något "värdefullt", dvs som du skulle sakna om det försvann, eller något du vill slippa att vem som helst kan ta del av, troligen kopplat till dig personligen.
Citera
2017-02-04, 17:50
  #3
Medlem
Någon som tar sig in på din server genom att nyttja en brist i en tjänst eller webapp får tillgång till allt i mappen. Exempelvis, någon får kodexekvering genom en brist i din webapp, och då som identiteten www-data eller liknande. Hen kan då ändå gräva fram lösenord från filerna du har i din hemkatalog, trojanisera filer du har där, läsa din bash-history, trojanisera DIG genom bashrc, och tusen andra saker.
Citera
2017-02-04, 21:45
  #4
Medlem
NineLightsOuts avatar
Citat:
Ursprungligen postat av Arabies
Någon som tar sig in på din server genom att nyttja en brist i en tjänst eller webapp får tillgång till allt i mappen. Exempelvis, någon får kodexekvering genom en brist i din webapp, och då som identiteten www-data eller liknande. Hen kan då ändå gräva fram lösenord från filerna du har i din hemkatalog, trojanisera filer du har där, läsa din bash-history, trojanisera DIG genom bashrc, och tusen andra saker.
www-data är en grupp och ingen användare. Man kan givetvis skapa en användare som heter det med, men www-data är en standardgrupp som följt med apache -ja. De användare jag har är twister - inlogget till serverdatorn och root, så om man ska hacka sig in via ftp exempelvis så är det via twister eller root.

Dessutom kan man väl inte hacka hemkatalogen eftersom chmod 777 -R bara gäller projektmappen och dess undermappar? du får gärna utveckla.
Citera
2017-02-04, 22:06
  #5
Medlem
Citat:
Ursprungligen postat av NineLightsOut
www-data är en grupp och ingen användare. Man kan givetvis skapa en användare som heter det med, men www-data är en standardgrupp som följt med apache -ja. De användare jag har är twister - inlogget till serverdatorn och root, så om man ska hacka sig in via ftp exempelvis så är det via twister eller root.

Dessutom kan man väl inte hacka hemkatalogen eftersom chmod 777 -R bara gäller projektmappen och dess undermappar? du får gärna utveckla.

I många distar heter användaren som apache körs som www-data, men det var som sagt ett exempel, och den specifika identiteten är oviktig.

Sedan läste jag fel på rubriken, och tyckte det stod hemkatalogen. Men korrekt, då är det filerna i projektkatalogen som ligger i riskzonen. Filer kan trojaniseras, och inloggningsuppgifter i källkods- och konfigurationsfiler kan läsas. Dessa kan sedan eventuellt användas för vidare intrång.
Citera
2017-02-07, 09:44
  #6
Medlem
iconicatab var redan inne på det lite. Kan hela världen skriva i din webbkatalog kan någon i värsts fall droppa ett php shell i din www root sen har han shell access till din server som www-data. Därifrån kan han ta sig vidare.
Citera

Stöd Flashback

Flashback finansieras genom donationer från våra medlemmar och besökare. Det är med hjälp av dig vi kan fortsätta erbjuda en fri samhällsdebatt. Tack för ditt stöd!

Stöd Flashback