Techyou labs
真正的爱应该超越生命的长度、心灵的宽度、 灵魂的深度
常用标签
您正在查看:标签 suexec 下的文章

现在很多linux虚拟主机商,都会开通shell权限给用户,方便管理,但是这样一来也带来了巨大的安全问题。先说说运行环境,Apache(suexec+fcgid)+php+mysql,所有用户均有shell权限。

默认情况下,一旦某个站点存在漏洞或者某位用户心存不轨,同服务器站点数据很容易被窃取。以下为例:
A,B站点同属服务器C。
比如A站点的用户发现B站点有漏洞,爆出了物理路径,但无法注入无法取得上传权限。
默认情况下,网站文件一般权限都会设置权限至少755,则漏洞就会产生(若设置成751,则html等静态文件无法读取,711会造成无法列举目录内文件,无法找到首页)。

A用户在得到了B站点的路径的情况下,完全可以通过shell登录窃取到B站点的机密配置文件如config.php等,从而窃取到B的数据库资料。

当然有一个办法,能避免文件被窃取。目录设置为755,动态文件设置为751/711/600(不给其他用户读的权限),静态文件设置成604/644

但这样做是无比的麻烦。。。

后继:通过配置ACL权限,额外分配给Apache运行用户读取和执行权限,并结合上述设置,能杜绝掉跨站攻击,而只需要设置目录或者文件权限为750即可。cgi(php)程序文件的权限可设置为600或400也能照常运行。但目录必须至少为750才能保证程序正常运行。

完美的方案是部署ACL+grsecurity+jailkit了。即便是爆了路径,也无法窃取到资料。

ACL+grsecurity+jailkit

目录最好设置成750,否则会出现403错误

php等cgi程序,去掉其他用户的任何权限,防止在开通了shell的情况下被跨站攻击
/home 目录本身为751(根据suexec配置选项所得)
/home下所有目录默认750,并分配如下ACL权限,web-httpd为Apache运行身份,www-data为nginx运行身份
/home/cgi-system/ 目录为751,子目录及其文件为750

setfacl -m u:web-httpd:rx,g:web-httpd:rx,u:www-data:rx,g:www-data:rx,o::- -R /home
setfacl -d -m u:web-httpd:rx,g:web-httpd:rx,u:www-data:rx,g:www-data:rx,o::- -R /home

logs目录设置用户可读

#setfacl -m u:user:r,g:user:r -R /home/user/logs
setfacl -d -m u:user:r,g:user:r -R /home/user/logs

/home/username 目录属性为710/750
下级目录和文件属主为用户本身,权限750

参考
http://linux.chinaunix.net/techdoc/beginner/2009/10/27/1141592.shtml
http://www.cnblogs.com/cabin/archive/2010/09/18/1830180.html
http://www.ibm.com/developerworks/cn/linux/l-acl/
http://ljh0242.blog.163.com/blog/static/5697009020088223959537/

这里有必要说明下php效率问题,suphp比suexec要快一点;比suphp更快的还有suphp_mod_php;再快一些的是mpm-peruser,不过安装配置的麻烦程度也随之递增。考虑到后期部署其他语言的方便性,故选择通用性更强的fcgi模式。
suexec编译选项要注意的事项:
--with-suexec-caller=web-httpd
调用用户,应该跟Apache运行用户保持一致
--with-suexec-uidmin=500
可使用suexec的用户最小uid
--with-suexec-gidmin=500
可使用suexec的用户组最小gid
--with-suexec-userdir=/wwwroot
定义suEXEC允许访问的用户宿主目录下的子目录。suEXEC将以用户身份执行这个目录下的所有可执行程序,所以这些程序必须是"安全程序"。如果使用"简单的"UserDir指令(即不带"*"),则此处应该被设置为相同的值。当UserDir指令所指向的目录与"passwd"文件所指定的用户宿主目录不同时,suEXEC将不会正常工作,其默认值是"public_html"。如果所支持的虚拟主机对每个用户有不同的UserDir ,则应该把他们集中在同一个父目录下,而用这个参数指向这个父目录。如果配置不当,"~userdir"下的cgi请求将无效!
--with-suexec-docroot=/home/
此选项尤为重要,必须是php程序运行的上级目录。不支持通配符*。
--with-suexec-umask=4755
更多配置请看这里
http://lamp.linux.gov.cn/Apache/ApacheMenu/suexec.html

Apache2.2.x安装配置选项略,详情见前面这里
1:mod_fcgid安装
APXS=/usr/local/apache2/bin/apxs ./configure.apxs
make & make install
2:mod_encoding 安装(解决中文路径问题)
详情搜索本站,在此略过。

权限问题:这是最繁琐的问题,折磨我很久的问题,请注意bin目录,build目录,include目录(这里指的是相对应Apache目录,下文中未明确指出的地方,均是指相对Apache目录)下的文件属主必须为root, modules下的httpd.exp属主为root。其他未明确指出的目录或文件,属主应为Apache运行用户。

关于用户的cgi程序目录问题:1,必须隶属于--with-suexec-docroot目录(关于suexec详细参数,可以运行bin/suexec -V查看)。2,cgi程序和cgi的上级目录属主必须为用户本身,且cgi程序有x执行权限。

错误例子:
suexec_log
[2006-01-02 15:03:16]: user mismatch (postfix instead of httpd)
[2006-01-02 15:06:07]: uid: (200/postfix) gid: (200/200) cmd: index.cgi
[2006-01-02 15:06:07]: target uid/gid (200/200) mismatch with directory (502/502) or program (502/502)
[2006-01-02 15:06:11]: uid: (200/postfix) gid: (200/200) cmd: index.cgi
[2006-01-02 15:06:11]: target uid/gid (200/200) mismatch with directory (502/502) or program (502/502)
cgi文件的父目录的属性不匹配,必须也chown 到uid=200的那个。