Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Ilya Kulagin                         2:5020/871.18  05 Apr 2006  11:15:01
 To : Victor Sudakov
 Subject : доступ по http с правами локального юзера
 -------------------------------------------------------------------------------- 
 
 
  VS> Hе понял мысль.
 
 Что происходит в ftp. Открывается соединение. В нём клиент на вопрос login:
 отвечает именем, на вопрос password: отвечает паролем, после чего сервер
 suid-ится (а иногда и chroot-ится) и всё дальнейшее общение, будь то приём
 команд или файлов, передача файлов или текста идёт в режиме с пониженными
 привилегиями. Где-то там, вдали, сессия заканчивается.
 
 Что происходит в http. Открывается соединение, клиент вливает _все_ данные.
 Какие нашёл клиент. Потом сервер эти данные парсит, выковыривает из них имя с
 паролем, ещё какие фиговины, проверяет (или не проверяет) и только тут,
 наконец-то может (зачем - отдельный вопрос) понизить себе привилегии и отдать
 обратно свой ответ с пониженными. В итоге, все без исключения баги, которые
 могли быть посажены при обработке данных клиента, будут обрабатываться в режиме 
 с максимальными привилегиями. Понижение привилегий спасёт разве что от багов,
 посаженных при работе с файловой системой.
 
 Примерно так. "Потому и не кусают". В смысле - потому и пишут наборы
 cgi-скриптов, которые эмулируют многопользовательский режим с разделением
 привилегий, типа тех же webdav. Поскольку в реальности эмуляция от реального, на
 уровне ОС, разделения если и отличается, так только в лучшую сторону: сервер с
 эмуляцией не обязан жить siud root и вылезти за пределы своей песочницы сможет
 крайне вряд ли.
 
 Вот я то же и рекомендую: взять какую попроще систему управления вебконтентом, а
 самбу обучить по имени пользователя отличать только каталог, оставляя uid одним 
 и тем же - вебсерверовским. Что proftpd обучается такому поведению на раз - я
 тоже знаю.
 
 Примите уверение в совершеннейшем к Вам почтении
 /kiv
  quotd:  В конце концов, всему свой час...
 
 --- kiv@work  [Престарелые алкоголики] [Иллюзорных судаков не существует!]
  * Origin: Moose 2:5020/871.18 (2:5020/871.18)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 доступ по http с правами локального юзера   Ilya Kulagin   05 Apr 2006 11:15:01 
 Re: доступ по http с правами локального юзера   Victor Sudakov   05 Apr 2006 19:56:04 
 доступ по http с правами локального юзера   Ilya Kulagin   06 Apr 2006 11:15:02 
Архивное /ru.unix.bsd/3974443370e7.html, оценка 3 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional