Bart B Asked: 2009-09-23 05:40:32 +0800 CST2009-09-23 05:40:32 +0800 CST 2009-09-23 05:40:32 +0800 CST 为什么让 root 将文件写入不属于 root 的目录是不好的? 772 这出现在对另一个问题的评论中,如果有人可以向我解释原因,我会很高兴。 我建议让 Apache 将给定 VHost 的错误记录到用户的主目录中。这被击落了,因为它不安全。为什么? 我在回复评论中要求澄清,但我得到的只是在不属于 root 的文件夹中写入 root 是不安全的。再次,有人可以解释一下吗? 谢谢, 巴特。 linux 2 个回答 Voted Best Answer AlberT 2009-09-23T05:55:06+08:002009-09-23T05:55:06+08:00 因为恶意用户可以恶意尝试将文件写入到不同的位置root。这不是那么简单,但确实有可能。 例如,如果用户找到从假定的 Apache 日志到/etc/shadow的符号链接的方法,您将突然拥有一个无法使用的系统。Apache ( ) 会覆盖您的用户凭据,从而导致系统出现故障。root ln -s /etc/shadow /home/eviluser/access.log 如果用户无法写入access.log文件,则可能很难劫持它,但最好避免这种可能性! 一种可能性可能是使用 logrotate 来完成这项工作,创建指向尚不存在的文件的链接,但logrotate将在日志增长时立即覆盖: ln -s /etc/shadow /home/eviluser/access.log.1 注意: 符号链接方法只是可能的攻击之一,作为概念证明给出。 必须以白名单的心态来制定安全性,而不是将我们知道的问题列入黑名单。 poolie 2010-11-22T23:43:26+08:002010-11-22T23:43:26+08:00 不让进程写入他们不拥有或不信任的目录的一般原则是一个很好的原则。但在这种特殊情况下,相信 Apache 代码使用O_NOFOLLOWetc 打开日志是合理的:登录到用户的主目录是一种常见设置。
因为恶意用户可以恶意尝试将文件写入到不同的位置
root。这不是那么简单,但确实有可能。例如,如果用户找到从假定的 Apache 日志到/etc/shadow的符号链接的方法,您将突然拥有一个无法使用的系统。Apache ( ) 会覆盖您的用户凭据,从而导致系统出现故障。
root如果用户无法写入access.log文件,则可能很难劫持它,但最好避免这种可能性!
一种可能性可能是使用 logrotate 来完成这项工作,创建指向尚不存在的文件的链接,但logrotate将在日志增长时立即覆盖:
注意:
符号链接方法只是可能的攻击之一,作为概念证明给出。
必须以白名单的心态来制定安全性,而不是将我们知道的问题列入黑名单。
不让进程写入他们不拥有或不信任的目录的一般原则是一个很好的原则。但在这种特殊情况下,相信 Apache 代码使用
O_NOFOLLOWetc 打开日志是合理的:登录到用户的主目录是一种常见设置。