- PR -

レンタルサーバ(web)のセキュリティについて

1|2 次のページへ»
投稿者投稿内容
常連さん
会議室デビュー日: 2004/04/06
投稿数: 38
お住まい・勤務地: 大阪
投稿日時: 2005-08-19 18:00
国と申します。

現在、某レンタルサーバを借りております。
そのサーバのセキュリティについてご意見を頂きたく思っております。

◆サーバ環境等

OS:FreeBSD
CPU/MEMなど:それなり
主なサービス:WWW,FTP,DB

1台のサーバに40名ほどのユーザーが共用してます。
1ユーザーで複数ドメインの管理が可能です。

◆気になるセキュリティ部分

・ホームディレクトリ
/home/user1/hoge.com/userhome

・フォーマット?
/home/(ユーザー名)/(ドメイン名)/userhome

・パーミッション

751 /home/user1
755 /home/user1/hoge.com
755 /home/user1/hoge.com/userhome

ということなので他人のホームディレクトリにアクセスしようとしても
ドメイン(hoge.com)を知らないとアクセスできないようになってます。

しかし、、

FTPやブラウザ経由で実行したPHP(コマンド関数使用)で「/etc/passwd」が見れます。

ということは、、

「/etc/passwd」にホームディレクトリが書かれている。

他のユーザーのディレクトリにアクセスできる。。。


これってまずいと思うのですが、管理者側に言ったほうがいいでしょうか?

NAO
ぬし
会議室デビュー日: 2001/10/24
投稿数: 1256
お住まい・勤務地: 神奈川のはずれから東京の下町
投稿日時: 2005-08-19 18:03


同じ様な事を問題にされてますが、しょうがない事では無いのでしょうか?

[ メッセージ編集済み 編集者: NAO 編集日時 2005-08-19 18:05 ]
常連さん
会議室デビュー日: 2004/04/06
投稿数: 38
お住まい・勤務地: 大阪
投稿日時: 2005-08-19 18:15
重要なファイル(.htpasswdなど)まで見れてしまいますが、仕方ないのですかね。。


[ メッセージ編集済み 編集者: 国 編集日時 2005-08-19 18:18 ]
冬寂
ぬし
会議室デビュー日: 2002/09/17
投稿数: 449
投稿日時: 2005-08-19 18:55
引用:

重要なファイル(.htpasswdなど)まで見れてしまいますが、仕方ないのですかね。。

.htpasswdって、平文で保存されていましたっけ?
それに、普通所有権で分かれるから、見れたとしても変更とかは出来ないのでは?

サーバのセキュリティについてはサーバの管理者が管理してる訳でしょ?
1ユーザとしてはそれ以上どうしようもないし、本当に危ないと思ったらもっと安全な所を借りればいいというだけでは?

(どうも春の個人情報保護法が施行されたあたりから中途半端な知識で文句言う人が多いような気がする。)
angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2005-08-19 19:29
こんばんは。
引用:
・パーミッション

751 /home/user1
755 /home/user1/hoge.com
755 /home/user1/hoge.com/userhome

これは私の感覚からすると大甘ではありますが…、
ただ、厳格にパーミッション管理しているサーバを見た経験が少ないというのも事実でして、そういう意味では「普通」かな、と思います。

国さんが、具体的な脅威を示せるのであれば、管理者側に訴えかける手もあるでしょう。
ただ、管理者がどこまで技術に明るいかは不明ですので、下手するとクレーマー扱いされます。
※ 私の二の舞にはならないことを願います。

しかし、現時点では漠然とした不安としか認識されないように思います。
なので、自己防衛として、自分のファイルはパーミッションを厳しくしたり、そもそも重要なデータは置かない、他への乗り換えを検討する等の措置を取られることをお勧めします。

以上、ご参考まで。
あんとれ
ぬし
会議室デビュー日: 2004/01/14
投稿数: 556
投稿日時: 2005-08-19 19:29
ホームディレクトリのパーミッションを751にしてしまえばよいのではないでしょうか。

これでホームディレクトリ上にどのようなファイルやサブディレクトリが置かれているかは分からなくなると思いますが。
angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2005-08-19 19:38
…ふと疑問に思ったのですが、
引用:
・ホームディレクトリ
/home/user1/hoge.com/userhome

これは、「ホームディレクトリ」ではなく、Webサーバの「ドキュメントルート」ではないのでしょうか?
「1ユーザーで複数ドメインの管理が可能です。」という説明とあわせますと。

であれば、
引用:
「/etc/passwd」にホームディレクトリが書かれている。

は直接の脅威では無くなるのですが。
国さんは、実際に /etc/passwd をご覧になりましたか?

勿論、それでもユーザ名・ドメイン名が結びつけば、そこからアクセスし放題になりかねませんので、甘いのですけど。

[ メッセージ編集済み 編集者: angel 編集日時 2005-08-19 19:46 ]
ちいにぃ
大ベテラン
会議室デビュー日: 2002/05/28
投稿数: 244
投稿日時: 2005-08-19 22:09
ftpサーバ側で対策するな、ftpでアクセスしたとき /etc/passwdを見ることが
できないようにするとか (chrootする)、/etc/passwdの内容をダミーにする、
って手もありますね。
# proftpdはこういう設定が可能でした。でも、後発のftpサーバなら
# 他の (pureftpdとかvsftpd) でも出来るような気がします。

でも、そのままではCGIやPHP経由で見ることもできますので、別途対策が必要。
(CGI実行時の対策については、既に紹介されたこのツリーでちょっと触れてます)

レンタルサーバのセキュリティがいまいち信用が出来ない場合は、
いっそ、仮想的な環境を提供しているサービスを使った方がよいかも。
# VPS (Virtual Private Server)って呼ばれています。
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)