- - PR -
PHPのシステムコマンドを不可にしたい
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2006-10-03 17:31
こんにちはいつも読ませていただいております。
PHPのセキュリティについて教えてください。 公開サーバ上に不正にPHPKonsoleというツールを 置かれましてそこで不正にコマンド等を実行されて しまい、いろいろなトラブルになっております。 ホスティングサーバ上でPHPは許可しているのですが 不用意なシステムコマンドまでPHP上で実行されるのは 困るというような状況になってしまいました。 PHPでシステム的なコマンドを防ぐことは可能なのでしょうか? 現在、ホスティングサーバでPHPを許可にしている サイトは多くあると思いますが、上記のような セキュリティ対策はあるのでしょうか? ご参考までになにかアドバイスありましたら お願い致します。 |
|
投稿日時: 2006-10-03 23:13
PHPのマニュアルは読んでいますか?
http://jp.php.net/manual/ja/features.safe-mode.php |
|
投稿日時: 2006-10-03 23:57
セーフモードにするのが手っ取り早いですが、
php.iniを設定する必要があります。 (.htaccessやini_setでは設定できません。) 共有サーバでは難しいでしょうね・・・ そもそも、へんなスクリプトが勝手に入っていること自体が大問題だと思いますが。 どういう経路で入られたのか、それを確認する方が先だと思いますが。 |
|
投稿日時: 2006-10-04 08:50
ユーザに自由な php のスクリプトを置くことを許可しているんですよね?
問題は、CPU とかより、あっちこっちのツールやファイルをいじられる事とだと 解釈しました。 だと、すると、ftp サーバや、ssh でのログイン環境では、chroot で ディレクトリを制限する事がよくやられているように、chroot が本質的な 解決になるかと思います。 ってなわけで、chroot, php で検索してみました。 で、次のようなページが見つかりました。 http://lovemorgue.org/modules.php?name=Content&pa=showpage&pid=76 これなんかは、どうでしょうか? [ メッセージ編集済み 編集者: わちゃ 編集日時 2006-10-04 08:52 ] |
|
投稿日時: 2006-10-04 17:06
こんばんは
みなさん情報ありがとうございます。 ご指摘の通り、ツールを置かれるようなセキュリティに そもそも問題がございました。FTP経由で容易なパスワードを やぶられツールを置かれた模様です。 参考URLを参照してみたいと思います。 ありがとうございました。 |
1