ความไม่มั่นคงในการตั้งค่า PHP ทั่วไป?

ฉันทำงานกับการบริหารระบบที่มหาวิทยาลัยแห่งหนึ่งและเพิ่งพบเจอสิ่งที่อาจเป็นเรื่องธรรมดา แต่ก็น่าตกใจสำหรับฉัน

ไดเร็กทอรี public_html และพื้นที่เว็บทั้งหมดถูกจัดเก็บใน afs พร้อมสิทธิ์การอ่านสำหรับเว็บเซิร์ฟเวอร์ เนื่องจากผู้ใช้ได้รับอนุญาตให้มีสคริปต์ php ใน public_html ของพวกเขาซึ่งหมายความว่าพวกเขาสามารถเข้าถึงไฟล์ของกันและกันได้จากภายใน php (และไฟล์เว็บหลัก!)

สิ่งนี้ไม่เพียงทำให้การป้องกันด้วยรหัสผ่าน. htaccess ไร้ประโยชน์อย่างสมบูรณ์ แต่ยังช่วยให้ผู้ใช้สามารถอ่านไฟล์ต้นฉบับ php ที่มีรหัสผ่านฐานข้อมูล mysql และข้อมูลที่ละเอียดอ่อนที่คล้ายกัน หรือถ้าพวกเขาพบว่าคนอื่นมีไดเรกทอรีที่เว็บเซิร์ฟเวอร์มีการเข้าถึงการเขียน (เช่นบันทึกส่วนตัวหรือบันทึกข้อมูลแบบฟอร์มที่ส่ง) พวกเขาสามารถจัดเก็บไฟล์ในบัญชีเหล่านั้น

ตัวอย่างง่ายๆ:

<?
  header("Content-type: text/plain");
  print file_get_contents("/afs/example.com/home/smith/public_html/.htpasswd"); 
?>

นี่เป็นปัญหาที่พบบ่อยหรือไม่? และโดยทั่วไปคุณจะแก้ปัญหาได้อย่างไร

UPDATE:

ขอบคุณสำหรับการป้อนข้อมูล น่าเสียดายที่ไม่มีคำตอบง่ายๆ ในสภาพแวดล้อมที่ใช้ร่วมกันขนาดใหญ่เช่นนี้ผู้ใช้อาจไม่ได้รับตัวเลือกมากมาย วิธีที่ดีที่สุดที่ฉันคิดคือตั้ง "open_basedir" ในการกำหนดค่าหลักสำหรับไดเรกทอรี "public_html" ทั้งหมดเรียกใช้ suphp และอนุญาตเฉพาะ php ที่สะอาด (ไม่มีสคริปต์ cgi, เรียกใช้คำสั่งภายนอกกับ backticks ฯลฯ )

การเปลี่ยนแปลงนโยบายเช่นนี้จะทำให้หลายสิ่งแตกต่างกันและอาจทำให้ผู้ใช้จับโกยและไล่ล่าพวกเรา ... ฉันจะพูดคุยกับเพื่อนร่วมงานของฉันและอัปเดตที่นี่หากเราตัดสินใจว่าจะเปลี่ยนการตั้งค่าอย่างไร

หนึ่งสามารถใช้ suphp ซึ่งเรียกใช้สคริปต์ php กับ uid ของเจ้าของ

http://www.suphp.org

ข้อเสนอแนะของฉันจะ จำกัด การเข้าถึงไฟล์ของ PHP (ผ่านopen_basedir& คำสั่งที่คล้ายกันบนพื้นฐานต่อ vhost): คุณต้องการให้ผู้ใช้สามารถเปิด / อ่าน / เขียนไฟล์ภายใต้ webroot ของพวกเขาและอาจอยู่เหนือระดับหนึ่ง space) แต่ไม่ใช่ไดเรกทอรีที่เก็บhtpasswdไฟล์เช่น

โครงสร้างไดเรกทอรีเช่น:

/Client
    /auth
    /site
        /www_root
        /www_tmp

จะตรงตามข้อกำหนดนี้: open_basedirสามารถชี้ไปที่/Client/siteปลอดภัยและhtpasswdไฟล์ที่เก็บไว้ใน/Client/auth(ด้วย.htaccessไฟล์หรือhttpd.confแก้ไขเพื่อชี้ไปที่ตำแหน่งที่เหมาะสมแทน)
สิ่งนี้จะป้องกันไม่ให้ลูกค้าของคุณเปิดไฟล์ของคนอื่นและในฐานะที่เป็นประโยชน์ผู้ใช้ที่เป็นอันตรายไม่สามารถอ่านเนื้อหาใน/Client/auth(หรือสิ่งอื่นใดในระบบของคุณเช่น/etc/passwd:-)

ดูhttp://php.net/manual/en/ini.core.phpสำหรับรายละเอียดเพิ่มเติมเกี่ยวกับการใช้งาน open_basedir & การใช้งานต่อ vhost

ไม่มันไม่ใช่ปัญหาทั่วไปเพราะโฮสต์ที่แชร์กันส่วนใหญ่จะกำหนดค่า open_basedir ในไฟล์ htaccess ในไดเรกทอรี public_html ของผู้ใช้แต่ละคน (หรือใน vhost หากผู้ใช้แต่ละคนมี vhost ของตัวเอง)

เช่นไฟล์. htaccess:

# Assuming these are not set globally - its good practice to limit:
  php_flag magic_quotes_gpc off
  php_flag magic_quotes_runtime off
  php_flag register_globals off
  php_flag short_open_tag off
  php_value max_execution_time 60

# These set the user-specific paths
  php_value open_basedir /afs/example.com/home/smith:/usr/share/php/include
  php_value session.save_path /afs/example.com/home/smith/tmp
  php_value upload_tmp_dir /afs/example.com/home/smith/tmp

แต่ให้แน่ใจว่าคุณตั้งค่าสิทธิ์ที่ถูกต้องในไฟล์. htaccess เพื่อป้องกันผู้ใช้ที่เปลี่ยน open_basedir (หากพวกเขาพยายามที่จะแทนที่มันใน subdir / .htaccess มันจะไม่ทำงาน - แต่คุณควรทดสอบเพื่อให้แน่ใจ) .

HTH

ค.

AFS ละเว้นสิทธิ์ผู้ใช้ unix อย่างง่าย suPHP เรียกใช้งาน setuid ก่อนที่จะรันโปรแกรม php แต่นั่นไม่ได้ให้กระบวนการโทเค็น Kerberos ที่จำเป็นในการเข้าถึง AFS และถูก จำกัด สิทธิ์ suPHP จะต้องได้รับการแก้ไขด้วยวิธีใดวิธีหนึ่งเพื่อรับโทเค็นเหล่านั้นก่อนจึงจะสามารถนำเสนอระบบ AFS ในฐานะผู้ใช้รายนั้นได้ เท่าที่ฉันรู้ว่ายังไม่ได้ทำ (อันที่จริงฉันพบคำถามนี้เมื่อต้องการดูว่ามีใครทำเช่นนั้นหรือไม่)