|
Neuer Benutzer
Beiträge: 3
Dabei seit: 07.02.2010
|
Hallo alle zusammen,
So, nun habe ich mich auch mal registriert und werde nun meinen ersten Beitrag verfassen. Ich habe nun schon bei mehreren Hostern nach Testaccounts gefragt und auch schon viele bekommen. Doch zu 90% weiß ich nicht ob die Systeme so sicher sind. Immer wenn ich ein CGI-Perl Skript schreibe, kann ich in diesen Skripten system()-Befehle ausführen. Das heißt in meinem Fall auch, dass ich auf ziemlich viele Konfigurationsdateien Lesezugriff bekomme. (Ich konnte aber nur in den seltensten Fällen auch andere Nutzerverzeichnisse aufrufen, und wenn dies so war hatte ich auch bescheid gesagt, dass die Zugriffstrechte überarbeitet werden sollten) Ansich finde ich das gar nicht so schlecht, da ich mit Hilfe von dem Programm tar super Backupdateien erstellen kann. Auf der anderen Seite denke ich das man ja nur auf ein Root-Exploit warten muss, um Root zu werden. Hätte mit dem Exploit "wunderbar_emporium" bis Ende August 2009 mit Sicherheit meistens wunderbar geklappt :-) So nun aber meine Frage: Wie kann man Befehle unter CGI-Perl unschädlich machen? Perl neu kompilieren ohne die Befehle wie system, exec etc. ist zwar möglich nur läuft Confixx nach meinen Einschätzungen nichtmehr ohne diese Befehle. Danke im Voraus x.ducks |
CGI-Sicherheit
|
Neuer Benutzer
Beiträge: 3
Dabei seit: 07.02.2010
|
Mmh,
Dieses Thema scheint hier keinen Anklang zu finden. Vielleicht ist dieses Thema auch bischen falsch eingestellt. Das geschilderte Problem könnte auch gelöst werden wenn man es schaffen würde den Perl interpreter immer mit dem taint mode aufzurufen Kann mir da vielleicht jemand einen Tipp geben? |
|
Geprüfter Provider
Beiträge: 1.767
Dabei seit: 13.05.2005
Ort: Frankfurt am Main
   
 Welcome 2 Inter.Net [Zum Anbieterprofil] |
Was willste denn nun sichern, Confixx oder die Benuteraccounts? Benutzeraccounts kannste doch einfach mit chroot sichern.
Ein Shared-System man nie 100% sicher bekommen. Im Falle von "wunderbar_emporium" konnte man das Problem ja schon einfach durch löschen/entladen der entsprechenden Module lösen.
__________________
░ Administration, Colocation, Nameserver & virtuelle Server ░ Produkte: www.welcome2inter.net/products |
|
Neuer Benutzer
Beiträge: 3
Dabei seit: 07.02.2010
|
Danke für die Antwort.
Ja ich will die Nutzeraccounts gegen Unfug der "Kunden" schützen. Chroot werde ich mir nochmal genauer anschauen (hattes es schonmal im Blick aber war der Meinung das es mit Confixx nicht funktioniert - was anscheinend falsch ist) Das Problem mit dem Exploit war einfach zu lösen, nur will ich selbst wenn solche Exploits herauskommen, das sie erst gar nicht gestartet werden können. |
|
Erfahrener Benutzer
Beiträge: 354
Dabei seit: 10.06.2007
|
Das Problem kann nicht in Perl gelöst werden, denn prinzipiell haben Kunden die Möglichkeit, auch bash Scripts oder Binaries direkt über die CGI-Schnittstelle auszuführen. Es soll wohl Kernelpatches für Linux geben, die verhindern, dass ein Benutzer eigene Binaries ausführen kann. Leider kann ich keine konkrete Empfehlung machen, dazu kenne ich mich in diesem Bereich zu wenig aus.
Cheatah |
 |
| Lesezeichen |
| Stichworte |
| cgi, cgisicherheit, shell, sicherheit, system() |
| Themen-Optionen | |
|
|
Ähnliche Themen
|
||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| IP Sicherheit? | wissensdurst | Webhosting Allgemein | 15 | 27.04.2006 20:08 |
| Sicherheit von Verwaltungssoftware | tsdata | Webhosting Allgemein | 2 | 02.09.2002 12:03 |
| Sicherheit: SSH before FTP | bvm | Webserver (Software): Linux, Unix, etc. | 9 | 12.04.2002 20:46 |
| Frage der Sicherheit | Gast | Confixx Classic 1.x | 1 | 04.03.2002 14:21 |
| Sicherheit von CGI bzw. Perl | fighter2001 | Dedizierter Server (Hardware) | 1 | 14.02.2002 12:43 |
