JAIL-Κλείδωσε το χρήστη μέσα σε ορισμένο φάκελο Ubuntu 12.04

...το μέρος για να ξεκινήσετε!

Συντονιστής: adem1

Κανόνες Δ. Συζήτησης
Παρακαλώ να επιλέξετε, με προσοχή, την άδεια που θέλετε να έχουν οι οδηγοί που συγγράφετε.
Πληροφορίες για τις άδειες μπορείτε να βρείτε εδώ.
Άμα επιθυμείτε κάποια άλλη άδεια επικοινωνήστε με κάποιο Διαχειριστή είτε Συντονιστή.

Σημαντικό είναι να χρησιμοποιήσετε την υπηρεσία http://imagebin.ubuntu-gr.org για τις εικόνες.

Re: JAIL-Κλείδωσε το χρήστη μέσα σε ορισμένο φάκελο Ubuntu 1

Δημοσίευσηαπό lepidas » 04 Ιουν 2013, 12:16

Πρός το παρόν μπορείς να διαβάσεις αυτό το θέμα εδώ viewtopic.php?f=7&t=27162
βρέθηκε exploit μεσα στο J site μου και υπήρχε απο το 2012, δεν κάνει μεγάλη ζημιά αλλα όπως και να εχει κάτι είναι...
Άβαταρ μέλους
lepidas
superbTUX
superbTUX
 
Δημοσιεύσεις: 3326
Εγγραφή: 11 Μάιος 2011, 11:10
Εκτύπωση

Re: JAIL-Κλείδωσε το χρήστη μέσα σε ορισμένο φάκελο Ubuntu 1

Δημοσίευσηαπό lepidas » 08 Ιουν 2013, 14:16

mariosv έγραψε:
lepidas έγραψε:Δεν ξέρω-δεν γνωρίζω php, νομίζω ναι όμως. Αλλά δοκίμασε το να δούμε τι γίνεται.
Άν θα ήθελες μπορείς να ποστάρεις οδηγίες να το δοκιμάσω σε μένα


Επειδή το έχω δοκιμάσει, το jail που βάζεις, είναι ΜΟΝΟ για συνδέσεις μέσω ftp. Αν σε ένα php αρχείο ζητήσω να κάνει fopen σε φάκελο που δεν μου ανήκει, θα το ανοίξει κανονικά εκτός αν είναι chmod να μην το ανοίγουν άλλοι χρήστες. Αλλά σκέψου ότι δεν μπορείς να περιορίσεις όλους τους φακέλους και αρχεία του Ubuntu να μην ανοίγουν.

Παραθέτω ένα παράδειγμα:
Ο χρήστης user2 διατηρεί ένα Joomla site.
Αν έχει βαλμένο ο user1 στο /var/www/user1/testfile.php τα εξής:
Κώδικας: Επιλογή όλων
<?php
$file = "/var/www/user2/configuration.php";
$data = file_get_contents($file);
echo $data;
?>

με την μια θα πάρει όλο το configuration του joomla του χρήστη user2 και συνεπώς και τους κωδικούς για τη βάση.
Μετά ακολουθεί connect στη βάση μέσω php και μετά το site του user2... πάπαλα....
Το μόνο που τον σώζει είναι να έχει το αρχείο configuration.php σε 640, αλλά θα το έχει;
στην πράξη τώρα, το δοκίμασα και η σελίδα δεν άνοιγε, έκανα το αρχείο testfile.php 777 και πάλι invalid server error, υποψιν ο owner του αρχειου testfile.php ηταν ο user2
Άβαταρ μέλους
lepidas
superbTUX
superbTUX
 
Δημοσιεύσεις: 3326
Εγγραφή: 11 Μάιος 2011, 11:10
Εκτύπωση

Προηγούμενη

  • ΣΧΕΤΙΚΑ ΘΕΜΑΤΑ
    ΑΠΑΝΤΗΣΕΙΣ
    ΠΡΟΒΟΛΕΣ
    ΣΥΓΓΡΑΦΕΑΣ

Επιστροφή στο Οδηγοί - How to - Tutorials