הוסטס - פורום אחסון האתרים הגדול בישראל
עמוד 1 מתוך 2 1 2
הצג 40 הודעות באשכול על דף אחד

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   תחזוק שרתים ושירותי רשת נוספים (https://hosts.co.il/forums/forumdisplay.php?f=29)
-   -   exec disabled (https://hosts.co.il/forums/showthread.php?t=70254)

mtk 14-12-08 13:28
exec disabled
 
שלום לכל בעלי שרתי האחסון.
רציתי לשאול מהנסיון האישי/טכני/עסקי של כל אחד מה התחליפים שאתם משתמשים עבור תלונות המשתמשים (לקוחות אחסון בשרת) על exec disabled.
ברור לי כי ישנה בעיית אבטחה עם הפונקציה exec, אבל חייב להיות פתרון.


למשל,
ספריית התמונות imagemagick צריכה את EXEC בשביל לפעול (לפחות ככה זה מוגדר כברירת מחדל).
האם שרתים שיש להם את imagemagick מקומפל עם הPHP, מציעים אלטרנטיבות למשתמשים, כגון הספרייה העצמאית: imgaick?

SDF 14-12-08 14:38
אתה יכול להתקין MagickWand, שיחליף את הצורך בexec עבור ImageMagick.

לגבי ביטול ה-exec, כל מי שמבטל את exec מחפה פשוט על בעיית אבטחה אחרת:
שכל הסקריפטים של PHP רצים תחת המשתמש של אפאצ'י.

תראה למשל את hostgator, שם כל הסקריפטים רצים תחת הבעלים שלהם, ולא תחת היוזר של
אפאצ'י, ולכן גם אין להם שום בעיה לתת לך את exec ודומייהן.

mtk 14-12-08 15:01
ציטוט:
נכתב במקור על ידי SDF (פרסם 687014)
אתה יכול להתקין MagickWand, שיחליף את הצורך בexec עבור ImageMagick.
OK, לא הכרתי את זה.
הבעיה שלי, היא שאפליקציות רבות, כבר כתובות עבור IMAGEMAGICK ומשתמשות בEXEC בשביל להשתמש בו.
אני מנסה לחפש איזו ספרייה הכי נפוצה כתחליף...

ציטוט:
נכתב במקור על ידי SDF (פרסם 687014)
לגבי ביטול ה-exec, כל מי שמבטל את exec מחפה פשוט על בעיית אבטחה אחרת:
שכל הסקריפטים של PHP רצים תחת המשתמש של אפאצ'י.

תראה למשל את hostgator, שם כל הסקריפטים רצים תחת הבעלים שלהם, ולא תחת היוזר של
אפאצ'י, ולכן גם אין להם שום בעיה לתת לך את exec ודומייהן.
קצת גולש החוצה מהנושא, אבל האם מה שאתה אומר כאן, זה ששימוש בsuPHP או דומיו, מאפשר לי כבעל שרת, לאפשר גישה לשימוש בEXEC, ללא סכנת אבטחה?
אם כן, אתה יכול לתת לי מקורות קריאה על זה?

SDF 14-12-08 15:26
ציטוט:
נכתב במקור על ידי mtk (פרסם 687020)
קצת גולש החוצה מהנושא, אבל האם מה שאתה אומר כאן, זה ששימוש בsuPHP או דומיו, מאפשר לי כבעל שרת, לאפשר גישה לשימוש בEXEC, ללא סכנת אבטחה?
אם כן, אתה יכול לתת לי מקורות קריאה על זה?
אני כשאני קונה חשבון אחסון, אני מצפה לקבל גישה לשלל על גבי SSH.
במה זה שונה מלעשות exec?


מחיפוש ראשוני שלי בגוגל עולה:
http://hostingfu.com/article/running...shared-hosting
שזה נוגע על קצה המזלג בבעיה ובפתרונות השונים.
תוכל מן הסתם למצוא עוד הרבה כתבות בנושא.

לסיכום רק נסיים בציטוט מהמנואל של PHP:
ציטוט:
The PHP safe mode is an attempt to solve the shared-server security problem. It is architecturally incorrect to try to solve this problem at the PHP level, but since the alternatives at the web server and OS levels aren't very realistic, many people, especially ISP's, use safe mode for now.
תמצית: safe mode הוא פתרון לא נכון מבחינה ארכיטקטורית, אבל מכיוון שאין פתרונות טובים יותר בשלב זה ברמת השרת ווב או המערכת הפעלה.

ונזכיר שכל חודש צץ איזה חור אבטחה חדש שקשור לעקיפת הsafe mode וגם שסייף מאוד הולך בPHP 6.
לדעתי זה בדיוק הזמן עכשיו להערך לפתרונות אחרים.

mtk 14-12-08 15:37
ציטוט:
נכתב במקור על ידי SDF (פרסם 687025)
אני כשאני קונה חשבון אחסון, אני מצפה לקבל גישה לשלל על גבי SSH.
במה זה שונה מלעשות exec?
נראה לי זו השוואה לא נכונה.
אתה בתור בעל האחסון, תעשה מה שאתה רוצה בשרת שלך, אפילו תפרוץ לעצמך... ;)

אתר מאוחסן על השרת, יכול לשים סקריפט PHP פשוט, שיריץ פקודות מערכת בעזרת EXEC.
במקרה הגרוע יותר, פורץ יפרות לחשבון שמאוחסן על השרת ויעשה את אותה פעולה פשוטה...

ציטוט:
נכתב במקור על ידי SDF (פרסם 687025)
מחיפוש ראשוני שלי בגוגל עולה:
http://hostingfu.com/article/running...shared-hosting
שזה נוגע על קצה המזלג בבעיה ובפתרונות השונים.
תוכל מן הסתם למצוא עוד הרבה כתבות בנושא.

לסיכום רק נסיים בציטוט מהמנואל של PHP:

תמצית: safe mode הוא פתרון לא נכון מבחינה ארכיטקטורית, אבל מכיוון שאין פתרונות טובים יותר בשלב זה ברמת השרת ווב או המערכת הפעלה.

ונזכיר שכל חודש צץ איזה חור אבטחה חדש שקשור לעקיפת הsafe mode וגם שסייף מאוד הולך בPHP 6.
לדעתי זה בדיוק הזמן עכשיו להערך לפתרונות אחרים.
יש אצלי בשרת האופציה השלישית המדוברת כאן (כלומר, הרצה ייחודית לכל משתמש).
האם (שאלתי את זה קודם), אני יכול להפעיל את EXEC חזרה, ולהיות רגוע?

אם כן, זה פותר לי את בעיית IMAGEMAGICK באופן מוחלט...

SDF 14-12-08 15:49
ציטוט:
נכתב במקור על ידי mtk (פרסם 687027)
נראה לי זו השוואה לא נכונה.
אתה בתור בעל האחסון, תעשה מה שאתה רוצה בשרת שלך, אפילו תפרוץ לעצמך... ;)

אתר מאוחסן על השרת, יכול לשים סקריפט PHP פשוט, שיריץ פקודות מערכת בעזרת EXEC.
במקרה הגרוע יותר, פורץ יפרות לחשבון שמאוחסן על השרת ויעשה את אותה פעולה פשוטה...
לא הבנת, יש לי חשבון בשרת שיטופי עם גישה בSSH.
אני מחשיב את זה למשהו בסיסי.

תפעיל את האפשרות הזאת שיש לך ותבדוק:
PHP קוד:
<?php 
 system("id"); 
 echo "\n<br />";
 echo php_sapi_name();
?>

mtk 14-12-08 15:57
כן, גם אני רואה בSSH משהו בסיסי, אבל זה לא אותו דבר.



בכל מקרה, נהורדתי את EXEC מרשימת ה-disable_functions
הרצתי את הקוד PHP שלך, והאמת שID לא מחזיר לי כלום...
דווקא מתוך SSH הוא כן :)

SDF 14-12-08 21:08
אולי כי system() וexec() זה לא בדיוק אותו דבר =)


PHP קוד:
<?php
echo exec("id");
 echo "\n<br />";
 echo php_sapi_name(); 
?>
ומה הSAPI מחזיר?

mtk 14-12-08 21:14
OK, זה היה SYSTEM פשוט הפונקציה הייתה חסומה גם כן :)


לא רק שזה עובד ומחזיר את היוזר הנוכחי (בעל החשבון ולא בעל השרת או APACHE), גם הצלחתי להתקין IMAGEMAGICK ולגרום לזה לעבוד כמו שצריך...

SDF 14-12-08 22:05
אז יופי טופי אני מניח =)
לא אמרת מה מחזיר לך הSAPI.


כל הזמנים הם GMT +2. הזמן כעת הוא 07:04.
עמוד 1 מתוך 2 1 2
הצג 40 הודעות באשכול על דף אחד

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ