실행권한 없는 php 코드를 포함한 html파일의 실행문제와 보안과
글쓴이: 익명 사용자 / 작성시간: 화, 2001/10/16 - 8:16오전
안녕하세요? 제가 드릴 질문은 기초적인 거라 검색하면 나오겠지만, 특수한 경
우가 아닌가 해서 질문드립니다
제가 유료계정 서비스를 통해 홈을 운영하는데요. php프로그램을 확장자를 htm
파일로 저장한 후 실행시키면 실행이 됩니다. 더 황당한건 권한을 644던가요?
(소유주만 읽고 쓰고 나머진 읽기전용) 이렇게 해도 실행이 되는 겁니다. 그래
서 서비스 담당자에게 어떻게 된거나고 질문을 했지만, 그게 무슨 문제가 되는
가 이런 식입니다.
전 초보라서 내가 잘못알았나 싶어 로컬컴의 퍼스널 웹서버에서 해봤습니다
만, 예상대로 실행권한 없고, 확장자가 php가 아니면 실행이 안되더군요
제 질문은 이런 일이 가능한지?, 그리고 가능하다면 보안에 미치는 영향은 무
엇인지?입니다.
친절하고 자세한 답변바랍니다, 결과에 따라 서비스 담당자와 한판 붙을 생각
이니까요. (서버는 와우리눅스+아파치+php+mySQL <- 당연히.. -_-;; )
Forums:
Re: 실행권한 없는 php 코드를 포함한 html파일의 실행문제와 보
일단 html 이 php 로 실행되는 문제는
httpd.conf 내에 php-handler 로 htm 이라는 확장자가 등록되어 있어서 그렇구
요..
글구 화일 권한이 644라도 실행이 됩니다. 왜냐하면... nobody 아파치 계정
이..
읽을수만 있다면.. 읽어서 실행하기 때문이죠..~~~~
. 디렉토리는 711 이렇게 주고요.( 1만 줘도 들어갈수는 있음 )
화일에는 644 이렇게 주는게 좋겠죠?..
Re^2: 답변감사합니다. 근데 보안문제랑? 폴더 권한 문제?(수정)
정말 빠르군요. 답변 감사합니다. 이래서 내가 여길 좋아한다니까요~ ^_^
제 계정뿐만 아니라 그 서버 사용자는 전부 이런 문제가 발생할텐데,
이 문제가 보안과는 상관이 없는지 궁금합니다
역시 전 초봅니다(리눅스를 텔넷으로 접한지 2주랍니다)
그리고 폴더는 711로 원래 되있습니다
무조건 nobody로 들어와도 실행할 수 있는 건가요?
Re^3: 답변감사합니다. 근데 보안문제랑? 폴더 권한 문제?(수정)
보안하고 상관은 있지만..
뚜렷한 해결책이 없는거로 압니다.
즉 로컬 상의 상대방 화일의 정확한 경로를 안다고 한다면.
그 화일을 누구나 읽을 수 있습니다. 744 의 경우 말입니다.
그래서. 상대방의 php 화일을 열수가 있고.
그래서 그 안의 DB 패스워드 같은 것을 읽을수 있습니다.
이렇게 하는곳도 있다고 들었습니다.
즉 사용자 들을 모두 하나의 그룹으로 묶어놓고.
704 로 권한을 준다면.... 아무도 읽을수 없겠지요.
그런데 nobody를 그룹에서 놓아준다면...other 권한이 4가 되므로
읽을수 있을겁니다.
그래서 자신의 php(nobody 권한으로 실행) 로 상대방의 화일을 php 함수 read
를 이용해서
읽을 수가 있겠지요..물론 정확한 경로를 알때의 문제입니다.
약간 알기 어렵게 만드는게...좋겠죠?...중요한 화일의 경우에요..
어떠한 경우에도 완벽을 보장하는 방법은 잘 모르겠습니다.
safe_mode 를 이용하면 ..어느정도 막을수는 있는데.. 사용자 화일
upload를 할 경우 문제가 생깁니다.
그래도..어느정도 안전은 보장하는 방법입니다..
댓글 달기