(un)sicherheit durch chmod 777

Seite 1 von 1 - Forum: Coding Stuff auf overclockers.at

URL: https://www.overclockers.at/coding-stuff/unsicherheit_durch_chmod_777_74442/page_1 - zur Vollversion wechseln!

kleinerChemiker schrieb am 09.04.2003 um 23:05

ich hab immer wieder gehört/gelesen, man soll mit chmod 777 vorsichtig sein, da es eine sicherheitslücke ist. allerdings kommt man eigentlich nicht drumherum, wenn man was per skript hochladen will. aber was ist daran eigentlich so unsicher? auf einen ordner mit chmod 777 kann man doch auch nur mit skripts zugreifen, die auf meinem webspace lieben, oder? also nicht von einem beliebigen server aus, oder?

wäre nett, wenn mir jemand etwas genauer sagen könnte, inwiefern chmod 777 ein sicherheitsloch darstellt und kurz umreißen, wie es ausgenutzt werden könnte.

MIK

shodan schrieb am 09.04.2003 um 23:07

mit chmod 777 darf jeder alles mit dem file machen...

kleinerChemiker schrieb am 09.04.2003 um 23:10

also ich könnte auf von nem komplett anderen server/provider aus das skript löschen/ändern bzw. ein neues erstellen?

wenn das so ist/wäre, dann könnte man ja bei allen foren, wo man was hochladen kann, dort massiven schaden anrichten.

MIK

atrox schrieb am 10.04.2003 um 01:38

nicht wasserdicht, aber dennoch deutlich sicherer ist, wenn du mit dem verz ein chown bzw chgrp auf die userdaten des webservers machst, und 644 oder 600 setzt. dann kann nur noch der webserver auf das verzeichnis zugreifen, und nicht andere user (zumindest nicht direkt)

kleinerChemiker schrieb am 10.04.2003 um 09:28

chown bzw chgrp auf die userdaten des webservers

wie mach ich das?

MIK

atrox schrieb am 10.04.2003 um 11:16

da du vermutlich als normaler user nicht das recht haben wirst ein chown auf den user des webserver durchuzführen, hier ein vorschlag:
du setzt ein verzeichnis 777, läßt dann ein skript darin einneues verzeichnis erzeugen und danach setzt du das erste verzeichnis wieder zurück. du hast jetzt ein verzeichnis mit dem richtigen owner in deinem arbeitsbereich und kannst dieses auf 600 bzw 644 setzten.

du solltest aber übrigens überprüfen (`phpinfo()´) ob dein provider nicht zufälig den safe_mode eingeschaltet hat. dann passieren die dateizugriffe sowieso unter deinem username und du brauchst nichts 777 zu setzen.

kleinerChemiker schrieb am 10.04.2003 um 11:35

also lt. phpinfo ist safe_mode on. allerdings weiß ich aus erfahrung, daß ich bei normalen 644 in keine files schreiben kann.

MIK

atrox schrieb am 10.04.2003 um 20:21

lass mal wie oben beschrieben ein script ein verzeichnis anlegen und schau dir an, unter welchem user das geschiet.

kleinerChemiker schrieb am 10.04.2003 um 21:48

der owner wäre 15. alles was ich per ftp hochlade hat 893.

einen ordner so zu erstellen geht ja noch, aber wenn man mehrere files hat, wids umständlich

MIK

Philipp schrieb am 10.04.2003 um 22:02

Zitat
wäre nett, wenn mir jemand etwas genauer sagen könnte, inwiefern chmod 777 ein sicherheitsloch darstellt und kurz umreißen, wie es ausgenutzt werden könnte.

Auf einen schlecht konfigurierten Server bei dem z.B. Safe Mode deaktiviert ist können Dateien mit 777 von sämtlichen Usern mittels PHP Script beschrieben werden.

Bei einem guten Provider sollte es eigentlich keine Sicherheitprobleme mit der Chmod 777 Einstellung geben

atrox schrieb am 11.04.2003 um 02:05

Zitat von kleinerChemiker
der owner wäre 15. alles was ich per ftp hochlade hat 893.

setze den mode des verz. mit owner=15 auf 644 und versuche dorthin etwas upzuloaden.

[so wie du das beschreibst (numeric user-ids), hast du womöglich keinen zugriff auf die user-db, was ein möglicher hinweis darauf ist, daß einzelne user mit `chroot´ abgeschirmt sind. dann können sie von der shell oder mit ftp eh nicht gegenseitig die upload-bereiche überschreiben. fremde scripts jedoch schon.]

wie auch immer - wenn der provider nicht seine config ändert, kannst du imho nicht sehr viel mehr zur sicherheit tun.