LINUX.ORG.RU

Апач, логи и получение рута

 , ,


0

1

Внезапно открыл доки апача и в разделе про логи обнаружил там следующую интересную инфу:

Anyone who can write to the directory where Apache is writing a log file can almost certainly gain access to the uid that the server is started as, which is normally root. Do NOT give people write access to the directory the logs are stored in without being aware of the consequences; see the security tips document for details.

Это каким образом такое может быть и почему оно так?

★★★★★

Это что за говно?

Подпишусь-ка, пускай разъяснят

dvrts ★★★ ()
Ответ на: комментарий от dvrts

Anyone who can write to the directory where Apache is writing a log file can almost certainly gain access to the uid that the server is started as, which is normally root.

Тот кто может писать в директорию где апач пишет свои логи может так же получить доступ к uid от которого запущен сервер, обычно только рут это может делать.

snaf ★★★★★ ()

http://httpd.apache.org/docs/2.2/misc/security_tips.html

If you allow non-root users to modify any files that root either executes or writes on then you open your system to root compromises. For example, someone could replace the httpd binary so that the next time you start it, it will execute some arbitrary code. If the logs directory is writeable (by a non-root user), someone could replace a log file with a symlink to some other system file, and then root might overwrite that file with arbitrary data. If the log files themselves are writeable (by a non-root user), then someone may be able to overwrite the log itself with bogus data.

invokercd ★★★★ ()

тут тег «я познаю мир» нужен. Вместо security,решето.

emulek ()
Ответ на: комментарий от snaf

обычно только рут это может делать.

угу. Ибо нерут не может слушать порт 80. Потому запускалка работает от root, но потом запускает процесс от www-data (в deb).

А зачем надо давать доступ в лог апача?

emulek ()

Я, кстати, ещё раз удивился, когда увидел, что даже с mpm-itk логи виртуалхоста всё равно открывает рутовый процесс, а не юзера, указаного в конфиге виртуалхоста.

А ещё, если юзер ВНЕЗАПНО удалит директорию для логов своего виртуалхоста (которая лежит в его хомяке специально чтоб он мог просмотреть свои же логи), то апач после logrotate падает и не поднимается, пока не выключишь виртуалхост или не создашь директорию обратно.

INFOMAN ★★★★★ ()
Последнее исправление: INFOMAN (всего исправлений: 1)
Ответ на: комментарий от INFOMAN

А ещё, если юзер ВНЕЗАПНО удалит директорию для логов своего виртуалхоста

по этой причине директория должна предналежать руту.

snaf ★★★★★ ()
Ответ на: комментарий от snaf

Если директория лежит у юзера в хомяке, он же сможет её переименовать, даже если она принадлежит руту, и опять-таки логи будут не найдены.

INFOMAN ★★★★★ ()
Ответ на: комментарий от INFOMAN

mpm-itk - люто глючный костыль. он иногда сам по себе падает.
а вообще, расово верный вариант - это через pipe слать логи какому-нибудь грейлогу или скрипту, который уже будет ложить их куда нужно, и будет создавать каталог, если он не существует -> апач не будет валиться.

Komintern ★★★★★ ()
Ответ на: комментарий от Komintern

он иногда сам по себе падает.

чет не замечал

snaf ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.