실행권한 없는 php 코드를 포함한 html파일의 실행문제와 보안과

익명 사용자의 이미지

안녕하세요? 제가 드릴 질문은 기초적인 거라 검색하면 나오겠지만, 특수한 경
우가 아닌가 해서 질문드립니다

제가 유료계정 서비스를 통해 홈을 운영하는데요. php프로그램을 확장자를 htm
파일로 저장한 후 실행시키면 실행이 됩니다. 더 황당한건 권한을 644던가요?
(소유주만 읽고 쓰고 나머진 읽기전용) 이렇게 해도 실행이 되는 겁니다. 그래
서 서비스 담당자에게 어떻게 된거나고 질문을 했지만, 그게 무슨 문제가 되는
가 이런 식입니다.

전 초보라서 내가 잘못알았나 싶어 로컬컴의 퍼스널 웹서버에서 해봤습니다
만, 예상대로 실행권한 없고, 확장자가 php가 아니면 실행이 안되더군요

제 질문은 이런 일이 가능한지?, 그리고 가능하다면 보안에 미치는 영향은 무
엇인지?입니다.

친절하고 자세한 답변바랍니다, 결과에 따라 서비스 담당자와 한판 붙을 생각
이니까요. (서버는 와우리눅스+아파치+php+mySQL <- 당연히.. -_-;; )

익명 사용자의 이미지

일단 html 이 php 로 실행되는 문제는

httpd.conf 내에 php-handler 로 htm 이라는 확장자가 등록되어 있어서 그렇구
요..

글구 화일 권한이 644라도 실행이 됩니다. 왜냐하면... nobody 아파치 계정
이..

읽을수만 있다면.. 읽어서 실행하기 때문이죠..~~~~

. 디렉토리는 711 이렇게 주고요.( 1만 줘도 들어갈수는 있음 )

화일에는 644 이렇게 주는게 좋겠죠?..

익명 사용자의 이미지

정말 빠르군요. 답변 감사합니다. 이래서 내가 여길 좋아한다니까요~ ^_^

제 계정뿐만 아니라 그 서버 사용자는 전부 이런 문제가 발생할텐데,
이 문제가 보안과는 상관이 없는지 궁금합니다
역시 전 초봅니다(리눅스를 텔넷으로 접한지 2주랍니다)

그리고 폴더는 711로 원래 되있습니다
무조건 nobody로 들어와도 실행할 수 있는 건가요?

익명 사용자의 이미지

보안하고 상관은 있지만..

뚜렷한 해결책이 없는거로 압니다.

즉 로컬 상의 상대방 화일의 정확한 경로를 안다고 한다면.

그 화일을 누구나 읽을 수 있습니다. 744 의 경우 말입니다.

그래서. 상대방의 php 화일을 열수가 있고.

그래서 그 안의 DB 패스워드 같은 것을 읽을수 있습니다.

이렇게 하는곳도 있다고 들었습니다.

즉 사용자 들을 모두 하나의 그룹으로 묶어놓고.

704 로 권한을 준다면.... 아무도 읽을수 없겠지요.

그런데 nobody를 그룹에서 놓아준다면...other 권한이 4가 되므로

읽을수 있을겁니다.

그래서 자신의 php(nobody 권한으로 실행) 로 상대방의 화일을 php 함수 read
를 이용해서

읽을 수가 있겠지요..물론 정확한 경로를 알때의 문제입니다.

약간 알기 어렵게 만드는게...좋겠죠?...중요한 화일의 경우에요..

어떠한 경우에도 완벽을 보장하는 방법은 잘 모르겠습니다.

safe_mode 를 이용하면 ..어느정도 막을수는 있는데.. 사용자 화일

upload를 할 경우 문제가 생깁니다.

그래도..어느정도 안전은 보장하는 방법입니다..

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.