[PHP-users 5230] Re: [SECURITY]:PHP4 session spoofing exploit

[Tomoyuki Asakawa]

あさかわ

自己レスですが。
もしかすると決定版。

> >もちろんアクセスされるファイルのパーミッションは、
> >-rw-r--r-- (644)等になってる必要があります。
> >ここで、groupに対するパーミッションが r-- になっていても、
> >ホームディレクトリのgroupに対するパーミッションが --- なので、
> >同じグループに属する人は読むことができません。
>
> 直でねらえば見えるのではありませんか。
>
> そうじゃないと、apacheが表示できるわけがありません。


吉川さんの5217番の設定のまま

遮蔽したいファイルのパーミッションを
-rw-r--r-- (644)
ではなく
-rw----r-- (604)

にします。

すべてのユーザの、デフォルトGIDが、webusersに
属していた場合のみですが。

遮蔽したいファイルのGIDを、webusersにして
パーミッション604にすると

そのwebusersに属していないユーザからは
otherが立ってるので見えますが、
そのwebusersに属してるユーザから
groupが落ちてるので見えなくなります。

なので、　su_execな、cgiからは、完全に遮蔽され
apache(GID=www)からは
otherのReadでが立ってるので読めます。
もちろんmodule版のPhpからも読めますが
それは、safe_modeで遮蔽できます。