Umgehen von noexec sinnvoll verhindern

[prickelpit]

Hi,

ich habe einen Nutzer web, den ich nur für suPHP brauche. Alle Verzeichnisse, in denen er Schreibrechte hat (~, /tmp, etc.) sind noexec gemountet.

Jetzt kann web ja folgendes machen:

Code: Select all

<?php
echo exec('/bin/bash /tmp/test.sh');
?>

Wie kann ich ohne Bordmittel von PHP (safe_mode etc.) sinnvoll verhindern, daß web mein noexec-Attribut "austrickst"?

Mir fällt spontan dazu nur folgendes ein:
- others via chmod das Ausführen von Shells und anderen kritischen Programmen verbieten

Dann müsste ich natürlich wieder schauen, wie die User, die auf die Shell angewiesen sind, die aufrufen. Klar, ich könnte das z.B. über eine Gruppe regeln, aber das scheint mir doch nicht so das Wahre zu sein.

Gruß
Pit

[myname]

Mit open_basedir einfach den Zugriff auf das Verzeichnis vom Nutzer beschränken oder mit disable_functions alle Funktionen zum Ausführen von Befehlen deaktivieren.

[captaincrunch]

Welchen Kernel verwendest du? noexec auf /tmp usw. wird erst seit gar nicht so langer Zeit auch korrekt umgesetzt.

[prickelpit]

Hi,

Mit open_basedir einfach den Zugriff auf das Verzeichnis vom Nutzer beschränken oder mit disable_functions alle Funktionen zum Ausführen von Befehlen deaktivieren.

ich hab' das genau so gemacht. Mir geht es eher um Vorkehrungen, falls aufgrund irgendeines Bugs die Schutzmaßnahmen von PHP irgendwie umgangen werden, oder aufgrund einer anderweitigen Lücke jemand Zugang zu meinem System bekommt.

Welchen Kernel verwendest du? noexec auf /tmp usw. wird erst seit gar nicht so langer Zeit auch korrekt umgesetzt.

Leider läuft auf der Kiste ein total überladener 2.6.8er Debian Standardkernel. Eigentlich würde ich gerne einen aktuellen, geptachten 2.4er einsetzen, aber der Anbieter bietet kein Rescuesystem. Und da ich als Distri Debian (Standard war RedHat) gewählt hab, wird momentan jeglicher Support verweigert. Auch eine eventuell notwendige Ã?nderung am Bootloader samt Neustart durch einen Servicemitarbeiter, falls mein Kernel nicht startet sollte, wird kategorisch abgelehnt (da Debian :lol: ).

Pit

[golloza]

Ist seit 2.4.25/2.6.0 behoben:

man mount

Code: Select all

noexec Do not allow direct execution of any binaries on the mounted file system.  (Until
recently it was possible to run  binaries anyway using a command like /lib/ld*.so /mnt/binary. This rick fails since Linux 2.4.25 / 2.6.0.)

[smash]

Mit open_basedir einfach den Zugriff auf das Verzeichnis vom Nutzer beschränken oder mit disable_functions alle Funktionen zum Ausführen von Befehlen deaktivieren.

open_basedir beschränkung bringt in diesem Fall garnichts.