[PHP-users 4533] Re: ファイル書き込みのユーザパーミッション

[Mitsuhisa TANAKA]

田中です。

From: Tomoyuki Asakawa <tom@asakawa.ne.jp>
Subject: [PHP-users 4531] Re: ファイル書き込みのユーザパーミッション
Date: Wed, 2 Jan 2002 15:50:54 +0900
Message-ID: <11735D24-FF4D-11D5-9D3B-0050E490C67A@asakawa.ne.jp>

> >  $ chmod g+w dir-name
> > とすれば、root 権限も、suExEC も使わずに ** 比較的安全 ** に
> > 運用できると思って、この様な設定で運用して見ていますが、如何
> > でしょうか？
> >
> 
> ぜんぜん安全じゃないと思うのですが？
> 
> 結局、apacheの権限で、すべてのユーザのpulic_htmlに
> 書き込みできてしまいますよね。

public_html にユーザ以外の書き込み権限を与えるつもりは無いで
す。

ただ、
突き詰めて考えると、グループを操作(設定)しても、しなくとも、
或るディレクトリに対する、ユーザ以外の書き込み許可を与えると
いうことは、 apache の権限で誰でもがそのディレクトリに対して
書き込みできてしまうから「安全では無い」と言うことは解ってい
ます。

ただ、書き込みしたいディレクトリに対して、chmod o+w dir_name
とするよりは、グループを使うことで、悪さが出来る範囲を絞り込
んだり、悪さが出来るユーザを絞り込むことが出来るので、比較的
ましかなと思っています。

また、書き込むディレクトリを、クライアントが指定できる URL
となるディレクトリに設定してしまうと、悪意のある PHP ファイ
ルを送り込まれてしまうと、大変なことになりますね。

ファイルシステムに関するセキュリティに関しては
http://jp.php.net/manual/ja/security.filesystem.php
に、記述が有ります。


suExec は、CGI と SSI の実行に対してと有るので、php モジュー
ルに関しては、該当しないという認識は誤りですか？
http://japache.infoscience.co.jp/japanese_1_3/manual/suexec.html

-----------------------------------------------
TANAZO Limited Partnership / Mitsuhisa TANAKA
I'm not a cyborg :-(