[PHP-users 5234] Re: [SECURITY]:PHP4 session spoofing exploit

[Toshikazu Yoshikawa]

吉川＠アンカットです。
重箱のスミをつつくようでアレですが・・・

> 吉川さんの5217番の設定のまま
> 
> 遮蔽したいファイルのパーミッションを
> -rw-r--r-- (644)
> ではなく
> -rw----r-- (604)
> 
> にします。

[PHP-users 5231]の極端な例を見ていただければ分かると思いますが、
とくにファイルのパーミッションからgroupを落とす必要はないと思います。

レンタルホスト業社からすれば、お客さんにパーミッションをこうしてねとか
伝える必要がないのでラクではないでしょうか。
それに客側としても気にする必要がないので、chmodを発行する手間が省けます。
もちろん、パーミッションの知識が全くないお客さんは困ったちゃんですが。

> すべてのユーザの、デフォルトGIDが、webusersに
> 属していた場合のみですが。

これは大前提です。
これがないと全て破綻します。

整理しますと、

・お客さんユーザは全て同一のグループに所属させる
・お客さんのホームディレクトリのパーミッションは drwx-----x にする
・ApacheはsuExecを有効にしてインストール
　CGIはお客さんのUID/GIDで動くようにする
・モジュール版PHPはsafe-modeをON もしくは
　open_basedirをそのユーザのホームディレクトリ空間にする。

以上です。

＃ジツはこの設定でレンタルサーバ業を営んでいたりします（＾＾；

＃mod_perlを入れちゃった場合はどうなるんでしょうね？
＃使ったことも調べたこともないんですが。
＃モジュール版PHPと同様、Apacheのユーザ権限で動いてしまうような気が。
＃誰か知ってたら教えてください。

---
unCut  Toshikazu Yoshikawa
mailto:toshi@uncut00.com