- PR -

PHPのシステムコマンドを不可にしたい

1
投稿者投稿内容
haru
常連さん
会議室デビュー日: 2003/01/04
投稿数: 49
投稿日時: 2006-10-03 17:31
こんにちはいつも読ませていただいております。

PHPのセキュリティについて教えてください。

公開サーバ上に不正にPHPKonsoleというツールを
置かれましてそこで不正にコマンド等を実行されて
しまい、いろいろなトラブルになっております。

ホスティングサーバ上でPHPは許可しているのですが
不用意なシステムコマンドまでPHP上で実行されるのは
困るというような状況になってしまいました。
PHPでシステム的なコマンドを防ぐことは可能なのでしょうか?

現在、ホスティングサーバでPHPを許可にしている
サイトは多くあると思いますが、上記のような
セキュリティ対策はあるのでしょうか?

ご参考までになにかアドバイスありましたら
お願い致します。
Java僧
ぬし
会議室デビュー日: 2003/11/06
投稿数: 261
投稿日時: 2006-10-03 23:13
PHPのマニュアルは読んでいますか?
http://jp.php.net/manual/ja/features.safe-mode.php
かつのり
ぬし
会議室デビュー日: 2004/03/18
投稿数: 2015
お住まい・勤務地: 札幌
投稿日時: 2006-10-03 23:57
セーフモードにするのが手っ取り早いですが、
php.iniを設定する必要があります。
(.htaccessやini_setでは設定できません。)
共有サーバでは難しいでしょうね・・・

そもそも、へんなスクリプトが勝手に入っていること自体が大問題だと思いますが。
どういう経路で入られたのか、それを確認する方が先だと思いますが。
わちゃ
大ベテラン
会議室デビュー日: 2005/12/05
投稿数: 162
お住まい・勤務地: 東京
投稿日時: 2006-10-04 08:50
ユーザに自由な php のスクリプトを置くことを許可しているんですよね?

問題は、CPU とかより、あっちこっちのツールやファイルをいじられる事とだと
解釈しました。

だと、すると、ftp サーバや、ssh でのログイン環境では、chroot で
ディレクトリを制限する事がよくやられているように、chroot が本質的な
解決になるかと思います。

ってなわけで、chroot, php で検索してみました。

で、次のようなページが見つかりました。

http://lovemorgue.org/modules.php?name=Content&pa=showpage&pid=76

これなんかは、どうでしょうか?


[ メッセージ編集済み 編集者: わちゃ 編集日時 2006-10-04 08:52 ]
haru
常連さん
会議室デビュー日: 2003/01/04
投稿数: 49
投稿日時: 2006-10-04 17:06
こんばんは
みなさん情報ありがとうございます。

ご指摘の通り、ツールを置かれるようなセキュリティに
そもそも問題がございました。FTP経由で容易なパスワードを
やぶられツールを置かれた模様です。

参考URLを参照してみたいと思います。
ありがとうございました。
1

スキルアップ/キャリアアップ(JOB@IT)