BG Development


  Reply to this topicStart new topicStart Poll

> Има ли начин за ограничен shell_exec
code2
Публикувано на: 14-07-2017, 11:40
Quote Post



Име:
Група: Потребител
Ранг: Посетител

Мнения: 58
Регистриран на: 11.06.16



Ако shell_exec се разреши, то има опасност от проблеми със сигурността. Има ли начин от php програмата да се разреши изпълняването на точно конкретен OS скрипт, който предварително някъде е зададен. А да не може да се изпълнява каквото ти се поиска?
PMEmail Poster
Top
Golden Gega
Публикувано на: 14-07-2017, 15:04
Quote Post



Име:
Група: Потребител
Ранг: Редовен член

Мнения: 573
Регистриран на: 04.06.10



Има, но е администраторска задача - на потребителя (веб сървъра) който изпълнява php скрипта да се дадат права върху директория, папка, файл, скрипт и т.н.
PMEmail Poster
Top
code2
Публикувано на: 14-07-2017, 19:13
Quote Post



Име:
Група: Потребител
Ранг: Посетител

Мнения: 58
Регистриран на: 11.06.16



И как да му се разреши да изпълни скрипт, но да му се забрани изпълняването на всякакви bash команди? Предполагам, че скрипта просто трябва да е с неговите привилегии, но как да се забрани bash?
PMEmail Poster
Top
gat3way
Публикувано на: 14-07-2017, 22:52
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 1327
Регистриран на: 22.06.12



Не мисля че е възможно със средствата на стандартните позволения на файловата система. С некоя MAC чекия като selinux може да стане, ама ще е голяма играчка (освен ако някой вече не си е поиграл да напише такова policy).
PMEmail Poster
Top
alphasoftwarebg
Публикувано на: 15-07-2017, 23:04
Quote Post



Име: Златин Георгиев
Група: Потребител
Ранг: Редовен член

Мнения: 432
Регистриран на: 23.12.12



QUOTE (code2 @ 14-07-2017, 11:40)
Ако shell_exec се разреши, то има опасност от проблеми със сигурността. Има ли начин от php програмата да се разреши изпълняването на точно конкретен OS скрипт, който предварително някъде е зададен. А да не може да се изпълнява каквото ти се поиска?

Не виждам какво те притеснява, тази команда се изпълнява само от php, а това е видимо само от сървъра, така че ще се изпълни само shell скрипта който си задал в php страницата. По принцип, ако клиентите не могат да променят php файлове на сървърния компютър, няма за какво да се притесняваш.


--------------------
ZZZServer - база знания, "живи" обекти, http сървър, управлявани от език за изкуствен интелект :)
PMEmail PosterUsers Website
Top
gat3way
Публикувано на: 17-07-2017, 01:05
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 1327
Регистриран на: 22.06.12



Не давай такива съвети, не помниш какво беше преди години icon_smile.gif
PMEmail Poster
Top
RoYaL
Публикувано на: 17-07-2017, 16:22
Quote Post



Име:
Група: Потребител
Ранг: Старо куче

Мнения: 824
Регистриран на: 21.08.05



Освен, ако не позволяваш на потребителя да въвежда вход, който привеждаш после до определени exec-ове icon_smile.gif Което е лошо, но понякога е обект на проекта.
PMEmail Poster
Top
thrawn
Публикувано на: 17-07-2017, 17:25
Quote Post



Име:
Група: Потребител
Ранг: Старо куче

Мнения: 756
Регистриран на: 17.01.17



Тия решения се правят през инструменти като sudo. Освен какво има право да се изпълнява могат да се фиксират дори допустимите параметри.
PMEmail Poster
Top
gat3way
Публикувано на: 21-07-2017, 15:49
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 1327
Регистриран на: 22.06.12



Да, проблемът е че няма как лесно да направиш така че sudo да е единственото нещо, което можеш да изпълниш.
PMEmail Poster
Top
thrawn
Публикувано на: 22-07-2017, 07:42
Quote Post



Име:
Група: Потребител
Ранг: Старо куче

Мнения: 756
Регистриран на: 17.01.17



Ако под лесно имаш в предвид с една команда, да няма как да стане. Иначе варианти има. Най-очевидния е да се затвори сървърът в chroot и там да се добавят позволените команди.
Може да се пробва смяна на шела за потребителя от чието име работи тоя сървър с такъв в който има рестрикции за позволени команди и т.н.
PMEmail Poster
Top
1 потребители преглеждат тази тема в момента (1 гости, 0 анонимни потребители)
Потребители, преглеждащи темата в момента:

Topic Options Reply to this topicStart new topicStart Poll

 


Copyright © 2003-2015 | BG Development | All Rights Reserved
RSS 2.0