科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道基础软件CGI和SSI的安全性-FreeBSD

CGI和SSI的安全性-FreeBSD

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

允许根据用户的请求而在服务器上运行程序,本身就是一种安全漏洞,因此只有在必要时,才允许用户使用这些功能。

来源:早雪网 2008年5月20日

关键字: FreeBSD 技巧 操作系统

  • 评论
  • 分享微博
  • 分享邮件

    允许根据用户的请求而在服务器上运行程序,本身就是一种安全漏洞,因此只有在必要时,才允许用户使用这些功能。

  对于SSI,安全问题比较简单,可以将其设置为只分析普通标志,不执行外部程序,这必须在配置文件中使用 Options IncludesNOEXEC选项,而非Options Includes选项。就能满足对安全性的一般要求。

  CGI程序的情况更为复杂。由于CGI可以用两种方式设置,一种为由ScriptAlias设置CGI程序的路径,另一种为通过设置CGI的后缀而设置的。通常只有在信任用户有能力创建没有(或很少)漏洞的CGI程序时,才使用后缀确认CGI程序。否则将会产生一些很糟糕的CGI程序,使得系统很容易被攻击。因此将CGI程序限制在一些固定目录下的做法更为常见,这至少让一个CGI程序经过服务器管理员的一些检查,避免明显的漏洞。

   CGI程序的另一个问题是,如果CGI程序要保存浏览器客户发布的数据,那么它就要访问系统的文件系统。通常 Apache服务器使用User和Group配置服务器运行的用户和组属性,Apache服务器启动的CGI程序缺省也使用这个用户和组属性运行,也就拥有了这个用户和组的权限,可以存取文件系统中的数据,这就对系统安全造成另一个影响。然而又必须让CGI程序存取数据文件,因此就要适当调整User和 Group的设置,使得它能够存取合适的数据文件。

  即使如此,由于所有的CGI程序都以同样的用户执行,那么不同用户的CGI就能相互操作别的用户的数据文件,从而造成安全问题。为了使得不同的用户以不同的用户身份执行CGI,就需要使用程序的SetUID功能。因为SetUID 会带来极大的系统漏洞问题。因此如非必要,不要使用SetUID程序,尤其是root身份的SetUID程序。设置用户身份的问题可以使用Apache的 suEXEC能力来帮助完成,它首先将身份改变为合适的用户,再执行相应的CGI程序。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章