Skip to content

AddHandler使用時におけるCGIの検出 #1

Closed
hosting-service-master opened this Issue Apr 4, 2013 · 5 comments

2 participants

@hosting-service-master

以前ブログの方でコメントを飛ばした者です。

小規模なホスティングサービスを運営しているのですが、
CGIの拡張子を利用者にAddHandlerディレクティブで意図的に変更されると
検出が出来なくなってしまいます。

宜しければ、mod_process_security及びmod_resource_checker使用時に置ける
AddHandlerのCGI検出に対応していただけると非常に助かります。

一利用者の勝手な要望ですが、意見として宜しくお願いします。

@matsumoto-r
Owner

少しわかっていないので教えてください。

mod_resouce_checker(旧mod_rcheker)はCGIに限らず、ファイル単位やディレクトリ単位で対象を設定するものなのですが、どのように対象を設定しているのでしょうか?

想定している使い方としては、任意のファイル名やディレクトリ名、および、Apacheのディレクティブで条件分岐できる範囲内で対象のファイル名を限定するのですが、その際にAddhandler cgi-scriptの検出が必要であることがあまり理解できていません。

たとえば、CGIが実行できるディレクトリがconf内で分かっている状況であれば、ディレクトリごと指定してやれば、ディレクトリ配下のすべてのファイルのリソースをチェックできる(名前が変わったり、CGIの拡張子がかわっても)ように思います。

@hosting-service-master

すいません、利用方法を勘違いしておりました 申し訳ございません
mod_resource_checker利用時であればディレクトリ指定でリソース監視が可能でした
完全な当方の勘違いです 大変失礼しました。

ただ全く別のモジュールの話になってしまいますが、mod_process_securityにおいては
cgi-script拡張子を変更した際の検出が必要になってくるのではないかと思います、
(PsEXAll Onで対応可能ですが、そうなりますと全てユーザ権限で動作しますので.datや.txtのログファイルの
閲覧が604等のパーミッションでも閲覧可能になってしまいます。)

当方の勘違いにより不愉快な思いをさせてしまい大変申し訳ございませんでした、
改めてお詫び申し上げます。

@matsumoto-r
Owner

いえいえ、こちらは何も気にしていませんので大丈夫です。

mod_process_securityも拡張子でマッチしているので、そういう状況では検出が必要そうですね。
そちらに関しては、改めてmod_process_securityのissueに上げてもらえますか?

(PsEXAll Onで対応可能ですが、そうなりますと全てユーザ権限で動作しますので.datや.txtのログファイルの
閲覧が604等のパーミッションでも閲覧可能になってしまいます。)

上記に関して少し気になったのですが、Apacheのサーバプロセスと.datや.txtコンテンツのグループを同じにしておいて、Apacheからそのコンテンツを見れないようにする、という意味ですか?

@hosting-service-master

(PsEXAll Onで対応可能ですが、そうなりますと全てユーザ権限で動作しますので.datや.txtのログファイルの
閲覧が604等のパーミッションでも閲覧可能になってしまいます。)
上記に関して少し気になったのですが、Apacheのサーバプロセスと.datや.txtコンテンツのグループを同じにしておいて、Apacheからそのコンテンツを見れないようにする、という意味ですか?

失礼しました再度訂正させて頂きます。。
通常 suexecで動作させる際は静的なファイルのパーミッションを604にすることによりwebから表示可能になりますが、
掲示板CGIプログラムのログ等WEB上から閲覧可能になると困るファイルがあります、suexec環境ではパーミッションを600に変更する事により
WEB上から閲覧できないようにすることが可能なのですが、やむなくPsEXAll Onで動作させるとパーミッション600のファイル等もweb上から閲覧可能になってしまい、
利用者の設置した掲示板ログファイル等が駄々漏れの状態になってしまう恐れがある為です。

CGI拡張子指定で動作させればパーミッション600のファイル等は閲覧不能にする事が可能ですが、
悪意ある利用者がCGIの拡張子を意図的に変更してサーバプロセスで動作させる可能性がある為、やむなくPsExAllでの対応が必要になってしまいます。

穢い文章で申し訳ございません、
改めて訂正させて頂きます、またmod_process_securityのページの方にもissuesを上げておきますのでよろしくお願いします。

@matsumoto-r
Owner

理解しました。そういう条件下では、そのような動作になると思います。

Webで閲覧されたくないようなファイルは、そもそもドキュメントルート外に置いてしまった方が良いと思うのですが、それをドキュメントルート配下においておく必要性はあるのでしょうか?

@matsumoto-r matsumoto-r closed this Apr 8, 2013
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Something went wrong with that request. Please try again.