Апач, логи и получение рута

0

1

Внезапно открыл доки апача и в разделе про логи обнаружил там следующую интересную инфу:

Anyone who can write to the directory where Apache is writing a log file can almost certainly gain access to the uid that the server is started as, which is normally root. Do NOT give people write access to the directory the logs are stored in without being aware of the consequences; see the security tips document for details.

Это каким образом такое может быть и почему оно так?

Ссылка

←	А в FF alert блокирующая операция?

Django vs JS

→

Это что за говно?

Подпишусь-ка, пускай разъяснят

dvrts ★★★
(22.12.14 19:06:23 MSK)

Ответ на: комментарий от dvrts 22.12.14 19:06:23 MSK

Anyone who can write to the directory where Apache is writing a log file can almost certainly gain access to the uid that the server is started as, which is normally root.

Тот кто может писать в директорию где апач пишет свои логи может так же получить доступ к uid от которого запущен сервер, обычно только рут это может делать.

snaf ★★★★★
(22.12.14 19:11:01 MSK)

http://httpd.apache.org/docs/2.2/misc/security_tips.html

If you allow non-root users to modify any files that root either executes or writes on then you open your system to root compromises. For example, someone could replace the httpd binary so that the next time you start it, it will execute some arbitrary code. If the logs directory is writeable (by a non-root user), someone could replace a log file with a symlink to some other system file, and then root might overwrite that file with arbitrary data. If the log files themselves are writeable (by a non-root user), then someone may be able to overwrite the log itself with bogus data.

invokercd ★★★★
(22.12.14 19:14:41 MSK)

Ссылка

тут тег «я познаю мир» нужен. Вместо security,решето.

emulek ★
(23.12.14 01:10:26 MSK)

Ссылка

Ответ на: комментарий от snaf 22.12.14 19:11:01 MSK

обычно только рут это может делать.

угу. Ибо нерут не может слушать порт 80. Потому запускалка работает от root, но потом запускает процесс от www-data (в deb).

А зачем надо давать доступ в лог апача?

emulek ★
(23.12.14 01:12:40 MSK)

Ссылка

Я, кстати, ещё раз удивился, когда увидел, что даже с mpm-itk логи виртуалхоста всё равно открывает рутовый процесс, а не юзера, указаного в конфиге виртуалхоста.

А ещё, если юзер ВНЕЗАПНО удалит директорию для логов своего виртуалхоста (которая лежит в его хомяке специально чтоб он мог просмотреть свои же логи), то апач после logrotate падает и не поднимается, пока не выключишь виртуалхост или не создашь директорию обратно.

INFOMAN ★★★★★
(23.12.14 01:23:46 MSK) автор топика
Последнее исправление: INFOMAN 23.12.14 01:28:01 MSK (всего исправлений: 1)

Ответ на: комментарий от INFOMAN 23.12.14 01:23:46 MSK

А ещё, если юзер ВНЕЗАПНО удалит директорию для логов своего виртуалхоста

по этой причине директория должна предналежать руту.

snaf ★★★★★
(25.12.14 19:07:41 MSK)

Ответ на: комментарий от snaf 25.12.14 19:07:41 MSK

Если директория лежит у юзера в хомяке, он же сможет её переименовать, даже если она принадлежит руту, и опять-таки логи будут не найдены.

INFOMAN ★★★★★
(25.12.14 19:20:52 MSK) автор топика

Ссылка

Ответ на: комментарий от INFOMAN 23.12.14 01:23:46 MSK

mpm-itk - люто глючный костыль. он иногда сам по себе падает.
а вообще, расово верный вариант - это через pipe слать логи какому-нибудь грейлогу или скрипту, который уже будет ложить их куда нужно, и будет создавать каталог, если он не существует -> апач не будет валиться.

Komintern ★★★★★
(27.12.14 13:17:07 MSK)

15 августа 2015 г.

Ответ на: комментарий от Komintern 27.12.14 13:17:07 MSK

он иногда сам по себе падает.

чет не замечал

snaf ★★★★★
(15.08.15 22:36:27 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	А в FF alert блокирующая операция?

Web-development

Django vs JS

→

Похожие темы