Czy takie rozwiązanie jest w ogóle możliwe, aby użytkownik FTP miał ograniczoną możliwość buszowania po dysku przy pomocy np. skryptów PHP? Zakładając konto FTP ograniczyłem dostęp tylko do katalogu domowego użytkownika. Jednak są tam pliki np. php w których można umieścić kod który odczyta wszystko to co jest na dysku.
Jest opcja open_basedir w php, jednak skrypt korzysta również w plików które są rozsiane po innych folderach. Mogę je tam dodać, ale ścieżkę do nich można doczytać choćby przez ini_get/all co przy pomocy zeskanowania tych ścieżek ukazuje pliki w całych katalogach.
Jest jakiś inny sposób ograniczenia działania php?
ograniczony dostęp do wykonywania php przez ftp
-
- Posty: 53
- Rejestracja: 12 marca 2019, 12:19
- LordRuthwen
- Moderator
- Posty: 2324
- Rejestracja: 18 września 2009, 21:45
- Lokalizacja: klikash?
Re: ograniczony dostęp do wykonywania php przez ftp
Tak, uruchomienie php-fpm per użytkownik.
-
- Posty: 53
- Rejestracja: 12 marca 2019, 12:19
Re: ograniczony dostęp do wykonywania php przez ftp
Tylko jeśli np. domena główna, nazwijmy to panel admina, który odczytuje pliki ze swojego folderu, jak i pliki z folderu podpiętego pod FTP to po wrzuceniu złośliwego kodu przez FTP, zostanie on uruchomiony w panelu, więc nie zablokuje to php-fpm.
Czy coś pominąłem ?
Czy coś pominąłem ?
- LordRuthwen
- Moderator
- Posty: 2324
- Rejestracja: 18 września 2009, 21:45
- Lokalizacja: klikash?
Re: ograniczony dostęp do wykonywania php przez ftp
A niby dlaczego skoro proces php będzie działał z uprawnieniami użyrkownika?
-
- Posty: 53
- Rejestracja: 12 marca 2019, 12:19
Re: ograniczony dostęp do wykonywania php przez ftp
Ponieważ panel będzie miał inne uprawnienia, główne bez ograniczeń np. standardowo www-data. Odczytując pliki z folderu FTP innego użytkownika, wykona je bezwarunkowo.
Re: ograniczony dostęp do wykonywania php przez ftp
Ja się na tym nie znam, ale zainteresowałbym się hasłem: listy ACL.
-
- Posty: 53
- Rejestracja: 12 marca 2019, 12:19
Re: ograniczony dostęp do wykonywania php przez ftp
ACL też nie przejdzie. Jedyna opcja jaka przychodzi mi do głowy to wyłączyć możliwość przesyłania określonych plików po stronie FTP.
Edycja:
Faktycznie, po zrobieniu FPM + open_basedir parser działa poprawnie, nie wiem czemu wcześniej leciało po całości, musiałem nadać złe uprawnienia do katalogu.
Edycja:
Faktycznie, po zrobieniu FPM + open_basedir parser działa poprawnie, nie wiem czemu wcześniej leciało po całości, musiałem nadać złe uprawnienia do katalogu.