[PHP-users 5222] Re: [SECURITY]:PHP4 session spoofing exploit

[Toshikazu Yoshikawa]

吉川＠アンカットです。

> あさかわ
> 
>  >・各ユーザのホームディレクトリ
>  >/home/****
>  >UIDは個々のユーザに対して別のもの
>  >GIDは共通のものにする（例えば webusers）
>  >また、各ホームディレクトリのパーミッションは
>  >drwx-----x (701)
> 
> の場合
> 
>  >httpd.conf内にて、メインサーバとバーチャルサーバを設定
>  >メインサーバ
>  >User www
>  >Group www
> 
> これでは、apacheは、
> index.htmlすら表示できないです。

試されました？
うちでは表示できてますが。
多分、ディレクトリのパーミッションとファイルのパーミッションを
混同されてるのだと思うのですが。
それともこんな挙動を示すのは、うちのOS（Slackware-8.0）だけ？

こちらに良いページが。
http://x68000.startshop.co.jp/~68user/unix/pickup?keyword=chmod&target=command&partial=on&regexp=on&case=off

> それはなんども書いてますがバーチャルサーバの
>      User ****
>      Group webusers
> は、cgiが起動する時しか効果がないからです。
> 
> apacheは、メインサーバのUid/Gidで
> ファイルをopenして、cgiを起動するときだけ
> バーチャルサーバのUid/Gidを使います。

はい。そう理解しております。
あくまでも、*.htmlや画像等の静的ファイルにアクセスする際は、
UID www GID www の権限でアクセスするものと考えております。

もちろんアクセスされるファイルのパーミッションは、
-rw-r--r-- (644)等になってる必要があります。
ここで、groupに対するパーミッションが r-- になっていても、
ホームディレクトリのgroupに対するパーミッションが --- なので、
同じグループに属する人は読むことができません。

> なので、メインサーバのUid/Gidでread可能に
> なっている必要があります。

ホームディレクトリのotherに対するパーミッション --x (1)がミソです。

---
unCut  Toshikazu Yoshikawa
mailto:toshi@uncut00.com