(un)sicherheit durch chmod 777

kleinerChemiker

Here to stay

Registered: Feb 2002
Location: Wien
Posts: 4317

09.04.2003 - 23:05

ich hab immer wieder gehört/gelesen, man soll mit chmod 777 vorsichtig sein, da es eine sicherheitslücke ist. allerdings kommt man eigentlich nicht drumherum, wenn man was per skript hochladen will. aber was ist daran eigentlich so unsicher? auf einen ordner mit chmod 777 kann man doch auch nur mit skripts zugreifen, die auf meinem webspace lieben, oder? also nicht von einem beliebigen server aus, oder?

wäre nett, wenn mir jemand etwas genauer sagen könnte, inwiefern chmod 777 ein sicherheitsloch darstellt und kurz umreißen, wie es ausgenutzt werden könnte.

MIK

shodan

Here to stay

Registered: Dec 2001
Location: vienna
Posts: 706

09.04.2003 - 23:07

mit chmod 777 darf jeder alles mit dem file machen...

kleinerChemiker

Here to stay

Registered: Feb 2002
Location: Wien
Posts: 4317

09.04.2003 - 23:10

also ich könnte auf von nem komplett anderen server/provider aus das skript löschen/ändern bzw. ein neues erstellen?

wenn das so ist/wäre, dann könnte man ja bei allen foren, wo man was hochladen kann, dort massiven schaden anrichten.

MIK

atrox

in fairy dust... I trust!

Registered: Sep 2002
Location: HTTP/1.1 404
Posts: 2782

10.04.2003 - 01:38

nicht wasserdicht, aber dennoch deutlich sicherer ist, wenn du mit dem verz ein chown bzw chgrp auf die userdaten des webservers machst, und 644 oder 600 setzt. dann kann nur noch der webserver auf das verzeichnis zugreifen, und nicht andere user (zumindest nicht direkt)

kleinerChemiker

Here to stay

Registered: Feb 2002
Location: Wien
Posts: 4317

10.04.2003 - 09:28

chown bzw chgrp auf die userdaten des webservers

wie mach ich das?

MIK

atrox

in fairy dust... I trust!

Registered: Sep 2002
Location: HTTP/1.1 404
Posts: 2782

10.04.2003 - 11:16

da du vermutlich als normaler user nicht das recht haben wirst ein chown auf den user des webserver durchuzführen, hier ein vorschlag:
du setzt ein verzeichnis 777, läßt dann ein skript darin einneues verzeichnis erzeugen und danach setzt du das erste verzeichnis wieder zurück. du hast jetzt ein verzeichnis mit dem richtigen owner in deinem arbeitsbereich und kannst dieses auf 600 bzw 644 setzten.

du solltest aber übrigens überprüfen (`phpinfo()´) ob dein provider nicht zufälig den safe_mode eingeschaltet hat. dann passieren die dateizugriffe sowieso unter deinem username und du brauchst nichts 777 zu setzen.

kleinerChemiker

Here to stay

Registered: Feb 2002
Location: Wien
Posts: 4317

10.04.2003 - 11:35

also lt. phpinfo ist safe_mode on. allerdings weiß ich aus erfahrung, daß ich bei normalen 644 in keine files schreiben kann.

MIK

atrox

in fairy dust... I trust!

Registered: Sep 2002
Location: HTTP/1.1 404
Posts: 2782

10.04.2003 - 20:21

lass mal wie oben beschrieben ein script ein verzeichnis anlegen und schau dir an, unter welchem user das geschiet.

kleinerChemiker

Here to stay

Registered: Feb 2002
Location: Wien
Posts: 4317

10.04.2003 - 21:48

der owner wäre 15. alles was ich per ftp hochlade hat 893.

einen ordner so zu erstellen geht ja noch, aber wenn man mehrere files hat, wids umständlich

MIK

Philipp

Here to stay

Registered: Jul 2001
Location: Wien
Posts: 2004

10.04.2003 - 22:02

Zitat
wäre nett, wenn mir jemand etwas genauer sagen könnte, inwiefern chmod 777 ein sicherheitsloch darstellt und kurz umreißen, wie es ausgenutzt werden könnte.

Auf einen schlecht konfigurierten Server bei dem z.B. Safe Mode deaktiviert ist können Dateien mit 777 von sämtlichen Usern mittels PHP Script beschrieben werden.

Bei einem guten Provider sollte es eigentlich keine Sicherheitprobleme mit der Chmod 777 Einstellung geben

atrox

in fairy dust... I trust!

Registered: Sep 2002
Location: HTTP/1.1 404
Posts: 2782

11.04.2003 - 02:05

Zitat von kleinerChemiker
der owner wäre 15. alles was ich per ftp hochlade hat 893.

setze den mode des verz. mit owner=15 auf 644 und versuche dorthin etwas upzuloaden.

[so wie du das beschreibst (numeric user-ids), hast du womöglich keinen zugriff auf die user-db, was ein möglicher hinweis darauf ist, daß einzelne user mit `chroot´ abgeschirmt sind. dann können sie von der shell oder mit ftp eh nicht gegenseitig die upload-bereiche überschreiben. fremde scripts jedoch schon.]

wie auch immer - wenn der provider nicht seine config ändert, kannst du imho nicht sehr viel mehr zur sicherheit tun.

kleinerChemiker Here to stay Registered: Feb 2002 Location: Wien Posts: 4317	09.04.2003 - 23:05 ich hab immer wieder gehört/gelesen, man soll mit chmod 777 vorsichtig sein, da es eine sicherheitslücke ist. allerdings kommt man eigentlich nicht drumherum, wenn man was per skript hochladen will. aber was ist daran eigentlich so unsicher? auf einen ordner mit chmod 777 kann man doch auch nur mit skripts zugreifen, die auf meinem webspace lieben, oder? also nicht von einem beliebigen server aus, oder? wäre nett, wenn mir jemand etwas genauer sagen könnte, inwiefern chmod 777 ein sicherheitsloch darstellt und kurz umreißen, wie es ausgenutzt werden könnte. MIK
shodan Here to stay Registered: Dec 2001 Location: vienna Posts: 706	09.04.2003 - 23:07 mit chmod 777 darf jeder alles mit dem file machen...
kleinerChemiker Here to stay Registered: Feb 2002 Location: Wien Posts: 4317	09.04.2003 - 23:10 also ich könnte auf von nem komplett anderen server/provider aus das skript löschen/ändern bzw. ein neues erstellen? wenn das so ist/wäre, dann könnte man ja bei allen foren, wo man was hochladen kann, dort massiven schaden anrichten. MIK
atrox in fairy dust... I trust! Registered: Sep 2002 Location: HTTP/1.1 404 Posts: 2782	10.04.2003 - 01:38 nicht wasserdicht, aber dennoch deutlich sicherer ist, wenn du mit dem verz ein chown bzw chgrp auf die userdaten des webservers machst, und 644 oder 600 setzt. dann kann nur noch der webserver auf das verzeichnis zugreifen, und nicht andere user (zumindest nicht direkt)
kleinerChemiker Here to stay Registered: Feb 2002 Location: Wien Posts: 4317	10.04.2003 - 09:28 chown bzw chgrp auf die userdaten des webservers wie mach ich das? MIK
atrox in fairy dust... I trust! Registered: Sep 2002 Location: HTTP/1.1 404 Posts: 2782	10.04.2003 - 11:16 da du vermutlich als normaler user nicht das recht haben wirst ein chown auf den user des webserver durchuzführen, hier ein vorschlag: du setzt ein verzeichnis 777, läßt dann ein skript darin einneues verzeichnis erzeugen und danach setzt du das erste verzeichnis wieder zurück. du hast jetzt ein verzeichnis mit dem richtigen owner in deinem arbeitsbereich und kannst dieses auf 600 bzw 644 setzten. du solltest aber übrigens überprüfen (`phpinfo()´) ob dein provider nicht zufälig den safe_mode eingeschaltet hat. dann passieren die dateizugriffe sowieso unter deinem username und du brauchst nichts 777 zu setzen.
kleinerChemiker Here to stay Registered: Feb 2002 Location: Wien Posts: 4317	10.04.2003 - 11:35 also lt. phpinfo ist safe_mode on. allerdings weiß ich aus erfahrung, daß ich bei normalen 644 in keine files schreiben kann. MIK
atrox in fairy dust... I trust! Registered: Sep 2002 Location: HTTP/1.1 404 Posts: 2782	10.04.2003 - 20:21 lass mal wie oben beschrieben ein script ein verzeichnis anlegen und schau dir an, unter welchem user das geschiet.
kleinerChemiker Here to stay Registered: Feb 2002 Location: Wien Posts: 4317	10.04.2003 - 21:48 der owner wäre 15. alles was ich per ftp hochlade hat 893. einen ordner so zu erstellen geht ja noch, aber wenn man mehrere files hat, wids umständlich MIK
Philipp Here to stay Registered: Jul 2001 Location: Wien Posts: 2004	10.04.2003 - 22:02 Zitat wäre nett, wenn mir jemand etwas genauer sagen könnte, inwiefern chmod 777 ein sicherheitsloch darstellt und kurz umreißen, wie es ausgenutzt werden könnte. Auf einen schlecht konfigurierten Server bei dem z.B. Safe Mode deaktiviert ist können Dateien mit 777 von sämtlichen Usern mittels PHP Script beschrieben werden. Bei einem guten Provider sollte es eigentlich keine Sicherheitprobleme mit der Chmod 777 Einstellung geben
atrox in fairy dust... I trust! Registered: Sep 2002 Location: HTTP/1.1 404 Posts: 2782	11.04.2003 - 02:05 Zitat von kleinerChemiker der owner wäre 15. alles was ich per ftp hochlade hat 893. setze den mode des verz. mit owner=15 auf 644 und versuche dorthin etwas upzuloaden. [so wie du das beschreibst (numeric user-ids), hast du womöglich keinen zugriff auf die user-db, was ein möglicher hinweis darauf ist, daß einzelne user mit `chroot´ abgeschirmt sind. dann können sie von der shell oder mit ftp eh nicht gegenseitig die upload-bereiche überschreiben. fremde scripts jedoch schon.] wie auch immer - wenn der provider nicht seine config ändert, kannst du imho nicht sehr viel mehr zur sicherheit tun.

(un)sicherheit durch chmod 777

Forum Index > Software > Coding Stuff

kleinerChemiker

shodan

kleinerChemiker

atrox

kleinerChemiker

atrox

kleinerChemiker

atrox

kleinerChemiker

Philipp

atrox