-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

http://es.php.net/manual/en/html/features.safe-mode.php

Quizá te sirva.

Saludos.

Urriellu escribió:
| Me encuentro con un problema de seguridad para el que no le encuentro
solución
| útil.
|
| El tema es que las contraseñas de algunos directorios están en
archivos que
| por defecto apache impide ver, hasta ahí no hay problema. No obstante si
| apache permite ejecutar scripts en php, como es mi caso (y el de la
mayoría),
| también se pueden ejecutar comandos del sistema con funciones de php
que hay
| para ello. Entonces con esas funciones puedes hacer por ejemplo
| "cat .htpasswd" y ahí apache no te restringe nada, y la lista de
contraseñas
| quedan expuestas.
|
| Ese archivo debe ser legible por el usuario que ejecuta el servidor
http, para
| que las contraseñas tengan efecto. Por otro lado todo lo que se
ejecute desde
| php será ejecutado con los permisos del usuario que ejecute el
servidor http,
| así que estamos jodidos, porque cualquiera podría ver las listas de
| contraseñas de todos los demás usuarios en todos sus directorios, porque
| tiene acceso desde php con los permisos de quien ejecuta el servidor
http a
| todos los comandos del sistema y todos los directorios de usuario
visibles
| por apache.
|
| Restringir la ejecución de comandos o permitir la ejecución de unos pocos
| comandos específicos parece la solución obvia, pero no es factible
puesto que
| mi servidor http es principalmente para uso privado, y yo soy quien
quiere
| poder ejecutar cualquier comando, pero claro, aquí no estoy solo yo y los
| demás pueden darme por el culo.
|
| Un chroot para el servidor http no creo que solucionase nada porque los
| directorios de los usuarios del sistema serían visibles dentro del chroot
| (claro, si no, no podrían tener su espacio web)
|
| Me comentan que podría modificarse el código fuente de apache para que
quien
| haga uso del intérprete de php lo haga con otros permisos que no sean
los del
| usuario propietario del proceso del servidor http, pero claro, ya
entramos en
| "palabras mayores", porque a la próxima actualización mis
modificaciones se
| eliminan con la nueva versión de apache, a no ser que envíe un bug a
| apache.org y pase a ser una función oficial del proyecto apache, pero
no me
| parece que ésta sea la solución, seguro que alguien más en algún
momento tuvo
| el mismo dilema que yo y se solucionó de otra manera, pero no sé cual.
| Supongo que todo el mundo restringiría las funciones de php para la
ejecución
| de comandos del sistema, pero yo no lo voy a hacer.
|
| Modificar el código fuente del intérprete de php tampoco lo veo
factible por
| lo mismo que lo de apache, o se podría preparar de tal manera que se
evitase
| cualquier comando que involucre ciertos archivos, pero me parece una
solución
| bastante cutre. Además, apache puede incluir otros intérpretes como
python o
| tcl, no necesariamente es php el único culpable, y habría que hacer los
| cambios en todos los intérpretes.
|
| De momento, y como solución temporal, encripté las contraseñas con
SHA, vamos,
| el argumento "s" para el comando htpasswd2, y me imagino que sea SHA-0 o
| SHA-1, y si no me equivoco solo es relativamente seguro el uso de
SHA-224 y
| SHA-256 en adelante. Además, MD5, SHA-0 y SHA-1 que yo sepa son
algoritmos
| para hashes, no para encriptación como tal, y son cadenas lo
suficientemente
| cortas como para que no me extrañase que fuesen crackeadas por fuerza
bruta
| en muy poco tiempo
|
| ¿qué soluciones veis?
|
| Muchas gracias
|
|
|
| ------------------------------------------------------------------------
|
| _______________________________________________
| Lista de correo asturlinux
| asturlinux@asturlinux.org
| http://www.asturlinux.org/cgi-bin/mailman/listinfo/asturlinux

- --
~ --------------------------------------------------------------
~ Agustín Orviz Camblor correo-e: aorviz@telecable.es
~ Servicios Avanzados - ISP TeleCable de Asturias S.A.U.
~ Parque Científico y Tecnológico Edificio TeleCable
~ Carretera de Cabueñes s/n Tlf: +34 984191000
~ 33203 - Gijón - Asturias Fax: +34 984191001
~ ---------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
Comment: Using GnuPG with MultiZilla - http://enigmail.mozdev.org

iD8DBQFDM8TpPlmOTxqCsV0RAi2PAKChIxcp+NgqkdX1QRpPCRqp6VHsxgCgipDb
Sj9mjjtIMDiBe9OSupsP+BQ=
=SQOi
-----END PGP SIGNATURE-----

------------------------------------------------------------------------

Le informamos, como destinatario de este mensaje, que el correo electrónico y las comunicaciones por medio de Internet no permiten asegurar ni garantizar la confidencialidad de los mensajes transmitidos, así como tampoco su integridad o su correcta recepción, por lo que TELECABLE DE ASTURIAS, S.A.U no asume responsabilidad alguna por tales circunstancias.
Si no consintiese en la utilización del correo electrónico o de las comunicaciones vía Internet le rogamos nos lo comunique y ponga en nuestro conocimiento de manera inmediata. Este mensaje va dirigido, de manera exclusiva, a su destinatario y contiene información confidencial y sujeta al secreto profesional, cuya divulgación no está permitida por la ley. En caso de haber recibido este mensaje por error, le rogamos que, de forma inmediata, nos lo comunique mediante correo electrónico remitido a nuestra atención o a través del teléfono (+ 34) 984191000 y proceda a su eliminación, así como a la de cualquier documento adjunto al mismo. Asimismo, le comunicamos que la distribución, copia o utilización de este mensaje, o de cualquier documento adjunto al mismo, cualquiera que fuera su finalidad, están prohibidas por la ley.
Nearby Fri Sep 23 11:02:57 2005