RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Umgehen von noexec sinnvoll verhindern

https://www.rootforum.org/forum/viewtopic.php?t=31541

Page 1 of 1

Umgehen von noexec sinnvoll verhindern

Posted: 2004-12-06 20:48
by prickelpit
Hi,

ich habe einen Nutzer web, den ich nur für suPHP brauche. Alle Verzeichnisse, in denen er Schreibrechte hat (~, /tmp, etc.) sind noexec gemountet.

Jetzt kann web ja folgendes machen:

Code: Select all

<?php
echo exec('/bin/bash /tmp/test.sh');
?>
Wie kann ich ohne Bordmittel von PHP (safe_mode etc.) sinnvoll verhindern, daß web mein noexec-Attribut "austrickst"?

Mir fällt spontan dazu nur folgendes ein:
- others via chmod das Ausführen von Shells und anderen kritischen Programmen verbieten

Dann müsste ich natürlich wieder schauen, wie die User, die auf die Shell angewiesen sind, die aufrufen. Klar, ich könnte das z.B. über eine Gruppe regeln, aber das scheint mir doch nicht so das Wahre zu sein.

Gruß
Pit

Re: Umgehen von noexec sinnvoll verhindern

Posted: 2005-01-05 14:14
by myname
Mit open_basedir einfach den Zugriff auf das Verzeichnis vom Nutzer beschränken oder mit disable_functions alle Funktionen zum Ausführen von Befehlen deaktivieren.

Re: Umgehen von noexec sinnvoll verhindern

Posted: 2005-01-05 14:33
by captaincrunch
Welchen Kernel verwendest du? noexec auf /tmp usw. wird erst seit gar nicht so langer Zeit auch korrekt umgesetzt.

Re: Umgehen von noexec sinnvoll verhindern

Posted: 2005-01-05 17:16
by prickelpit
Hi,
Myname wrote:Mit open_basedir einfach den Zugriff auf das Verzeichnis vom Nutzer beschränken oder mit disable_functions alle Funktionen zum Ausführen von Befehlen deaktivieren.
ich hab' das genau so gemacht. Mir geht es eher um Vorkehrungen, falls aufgrund irgendeines Bugs die Schutzmaßnahmen von PHP irgendwie umgangen werden, oder aufgrund einer anderweitigen Lücke jemand Zugang zu meinem System bekommt.
CaptainCrunch wrote:Welchen Kernel verwendest du? noexec auf /tmp usw. wird erst seit gar nicht so langer Zeit auch korrekt umgesetzt.
Leider läuft auf der Kiste ein total überladener 2.6.8er Debian Standardkernel. Eigentlich würde ich gerne einen aktuellen, geptachten 2.4er einsetzen, aber der Anbieter bietet kein Rescuesystem. Und da ich als Distri Debian (Standard war RedHat) gewählt hab, wird momentan jeglicher Support verweigert. Auch eine eventuell notwendige Ã?nderung am Bootloader samt Neustart durch einen Servicemitarbeiter, falls mein Kernel nicht startet sollte, wird kategorisch abgelehnt (da Debian :lol: ).

Pit

Re: Umgehen von noexec sinnvoll verhindern

Posted: 2005-01-05 19:17
by golloza
Ist seit 2.4.25/2.6.0 behoben:

man mount

Code: Select all

noexec Do not allow direct execution of any binaries on the mounted file system.  (Until
recently it was possible to run  binaries anyway using a command like /lib/ld*.so /mnt/binary. This rick fails since Linux 2.4.25 / 2.6.0.)

Re: Umgehen von noexec sinnvoll verhindern

Posted: 2005-01-05 21:59
by smash
Myname wrote:Mit open_basedir einfach den Zugriff auf das Verzeichnis vom Nutzer beschränken oder mit disable_functions alle Funktionen zum Ausführen von Befehlen deaktivieren.
open_basedir beschränkung bringt in diesem Fall garnichts.
All times are UTC+02:00
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited