[PHP-users 3874] Re: PHPのセキュリティモデルについて

[KOYAMA Tetsuji]

  小山です。

At Mon, 26 Nov 2001 19:51:25 +0900,
SAKAMOTO wrote:
> 日本語は私の第３外国語なのでたまに勘違いしたりします。
> すみません。PHPを専門に扱っているセキュリティの情報は
> 英語/韓国/フランス/ドイツサイトまで探してみましたが、専門的な
> サイトは見つかりませんでした。

  PHPマニュアルのセキュリティの項だけでも、かなりのことが書いてあると
思うのですけど。

	http://www.php.net/manual/en/security.php (英語)
	http://www.php.net/manual/ja/security.php (日本語)

> また
> PHP.iniを修正してsafe_modeをOnに指定すると自分のアカウント
> 以外のファイルは開くことは出来なくなります。

  加えて各ユーザ毎に open_basedir を設定すれば、その階層以外のディレク
トリへのアクセスはできなくなります。

> (1). telnet, ftp などのログイン問題
>
>    この問題はあるユーザがサーバにログインして他のユーザの
>    php scriptを読み込むことを防ぐ方法です。これは完璧な
>    解決策があります。
> 
>    solarisの場合setfaclを使用することができますが、
>    単純に permission の設定で解決することが出来ます。
>    Linuxでも問題はないです。下にその方法を紹介します。

  telnet 等での sh アカウントを公開するのは通常行われないので問題ない
ですし(あえてshアカウントを開放しているところはきちんとそれなりの対策
をしている) 、ftp では chroot 環境に押し込めて他アカウントのファイルを
触れないようにするのは常識でしょう。

  坂本さんがおっしゃっているのは、 Web 貸し屋さんがユーザに対して PHP 
を使わせる場合の問題点という切り口のみのような気がして、そういう観点で
見たときにファイルのアップロードが本当に必要かというのにはちと疑問です。

  確かに Web 貸し屋さん的視点も、広く普及させるためには大事なんですけ
どね。

-- 
	小山 哲志＠ビート・クラフト
	koyama@beatcraft.com
	koyama@hoge.org