nicht angemeldet
Hi,
Wie finde ich die User/Gruppe der Server Children raus?
entweder über die User-Direktive in der httpd.conf, oder durch Nachschauen in Tools wie ps oder top.
Wenn ich mit php ein File erzeuge (fopen und fputs), kann ich das ohne das ich die Verzeichnisattribute ändern muss.
Die so neu erzeugte Datei hat ebenfalls f192/frafu9 als Besitzer. Das ist doch der User/Gruppe des PHP Prozesses?
_Sollte_ so sein, ja. Das ist allerdings nur ein Indizienbeweis.
Was bedeuten meine Beobachtungen jetzt? :-) Einfach "komisch" konfiguriert oder auch ein pot. Sicherheitsrisiko?
Im Idealfall gut konfiguriert. Es ist aber auch möglich, dass es sich um eine Konstellation handelt, welche über den Apache-Hauptprozess ein sudo o.ä. auf den User ausführt; also im Prinzip "mach mich root und dann f192". Das könnte dann durchaus zu einem Sicherheitsrisiko werden.
Cheatah
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes