Portál AbcLinuxu, 24. dubna 2024 08:16


Dotaz: Lze vypsat obsah passwd souboru pomoci php prikazu.

9.10.2005 12:24 Doktor
Lze vypsat obsah passwd souboru pomoci php prikazu.
Přečteno: 135×
Odpovědět | Admin
Rad bych se zeptal jak aby mel mit soubor /etc/passwd prava, protoze jej u mne lze prohlizet zvenci pomoci: 
<?
highlight_file(__FILE__);
echo file_get_contents('/etc/passwd');
?>
Soubor ma prava 644 to znamena "read by others". Jak tomuto zabranim?
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

9.10.2005 12:32 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Lze vypsat obsah passwd souboru pomoci php prikazu.
Odpovědět | | Sbalit | Link | Blokovat | Admin
To je naprosto normální stav, co ti na tom vadí?
Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog
9.10.2005 12:40 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Lze vypsat obsah passwd souboru pomoci php prikazu.
Odpovědět | | Sbalit | Link | Blokovat | Admin
1. Soubor /etc/passwd musí být world readable.

2. Pokud nejste schopen věřit vlastním uživatelům, do systému je nepouštějte.

3. Pokud používáte shadow passwords (stejně jako každá distribuce, která vznikla asi tak v posledních osmi letech), není v souboru /etc/passwd nic, co by stálo za utajení. To jen každou chvíli nějaký "objevitel" cítí potřebu ukazovat národu, jak snadno se lze dostat k citlivým informacím - jenže ony tam žádné nejsou.

9.10.2005 12:44 ...... | skóre: 41 | blog: ...
Rozbalit Rozbalit vše Re: Lze vypsat obsah passwd souboru pomoci php prikazu.
Odpovědět | | Sbalit | Link | Blokovat | Admin
číst by ho měl přeci každý...až /etc/shadow může číst jen root ne?
9.10.2005 12:55 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Lze vypsat obsah passwd souboru pomoci php prikazu.
Ne nutně jen root. Třeba u mne je to takhle: 
  -rw-r-----  1 root shadow 1077 2005-09-13 02:32 /etc/shadow
Je to proto, aby programy, které potřebují ověřovat heslo, nemusely být SUID na roota, ale stačilo SGID na shadow: 
  -rwxr-sr-x  1 root shadow 11776 2005-03-20 02:36 /usr/bin/vlock
9.10.2005 13:27 ...... | skóre: 41 | blog: ...
Rozbalit Rozbalit vše Re: Lze vypsat obsah passwd souboru pomoci php prikazu.
no nechtěl jsem to rozebírat podrobně....uživatele mám root, skupinu shadow jako to píšeš ty.
9.10.2005 12:46 fakenickname | skóre: 42 | blog: fakeblog
Rozbalit Rozbalit vše Re: Lze vypsat obsah passwd souboru pomoci php prikazu.
Odpovědět | | Sbalit | Link | Blokovat | Admin
Navíc když zakážete čtení tohoto souboru uživatelům, zakážete jim tím tak i přihlašování.. (myslím)
9.10.2005 12:52 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Lze vypsat obsah passwd souboru pomoci php prikazu.
Samotné přihlašování asi přímo ne, ale třeba překlad mezi UID a jmény, zjištění domácího adresáře apod.
9.10.2005 12:56 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Lze vypsat obsah passwd souboru pomoci php prikazu.
Přihlašování je pod rootem (stejně se musí ověřit heslo z shadow), takže to fungovat bude, ale třeba nebudou vědět, kde mají home :-).
Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog
9.10.2005 14:06 tomas84 | skóre: 30
Rozbalit Rozbalit vše Re: Lze vypsat obsah passwd souboru pomoci php prikazu.
Odpovědět | | Sbalit | Link | Blokovat | Admin
Konfigurační direktivy PHP safe_mode nebo open_basedir. Viz dokumentace.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.