exec disabled - הוסטס

mtk · 14-12-08, 13:28

שלום לכל בעלי שרתי האחסון.
רציתי לשאול מהנסיון האישי/טכני/עסקי של כל אחד מה התחליפים שאתם משתמשים עבור תלונות המשתמשים (לקוחות אחסון בשרת) על exec disabled.
ברור לי כי ישנה בעיית אבטחה עם הפונקציה exec, אבל חייב להיות פתרון.

למשל,
ספריית התמונות imagemagick צריכה את EXEC בשביל לפעול (לפחות ככה זה מוגדר כברירת מחדל).
האם שרתים שיש להם את imagemagick מקומפל עם הPHP, מציעים אלטרנטיבות למשתמשים, כגון הספרייה העצמאית: imgaick?

SDF · 14-12-08, 14:38

אתה יכול להתקין MagickWand, שיחליף את הצורך בexec עבור ImageMagick.

לגבי ביטול ה-exec, כל מי שמבטל את exec מחפה פשוט על בעיית אבטחה אחרת:
שכל הסקריפטים של PHP רצים תחת המשתמש של אפאצ'י.

תראה למשל את hostgator, שם כל הסקריפטים רצים תחת הבעלים שלהם, ולא תחת היוזר של
אפאצ'י, ולכן גם אין להם שום בעיה לתת לך את exec ודומייהן.

mtk · 14-12-08, 15:01

ציטוט:

נכתב במקור על ידי SDF

אתה יכול להתקין MagickWand, שיחליף את הצורך בexec עבור ImageMagick.

OK, לא הכרתי את זה.
הבעיה שלי, היא שאפליקציות רבות, כבר כתובות עבור IMAGEMAGICK ומשתמשות בEXEC בשביל להשתמש בו.
אני מנסה לחפש איזו ספרייה הכי נפוצה כתחליף...

ציטוט:

נכתב במקור על ידי SDF

לגבי ביטול ה-exec, כל מי שמבטל את exec מחפה פשוט על בעיית אבטחה אחרת:
שכל הסקריפטים של PHP רצים תחת המשתמש של אפאצ'י.

תראה למשל את hostgator, שם כל הסקריפטים רצים תחת הבעלים שלהם, ולא תחת היוזר של
אפאצ'י, ולכן גם אין להם שום בעיה לתת לך את exec ודומייהן.

קצת גולש החוצה מהנושא, אבל האם מה שאתה אומר כאן, זה ששימוש בsuPHP או דומיו, מאפשר לי כבעל שרת, לאפשר גישה לשימוש בEXEC, ללא סכנת אבטחה?
אם כן, אתה יכול לתת לי מקורות קריאה על זה?

SDF · 14-12-08, 15:26

ציטוט:

נכתב במקור על ידי mtk

קצת גולש החוצה מהנושא, אבל האם מה שאתה אומר כאן, זה ששימוש בsuPHP או דומיו, מאפשר לי כבעל שרת, לאפשר גישה לשימוש בEXEC, ללא סכנת אבטחה?
אם כן, אתה יכול לתת לי מקורות קריאה על זה?

אני כשאני קונה חשבון אחסון, אני מצפה לקבל גישה לשלל על גבי SSH.
במה זה שונה מלעשות exec?

מחיפוש ראשוני שלי בגוגל עולה:
http://hostingfu.com/article/running...shared-hosting
שזה נוגע על קצה המזלג בבעיה ובפתרונות השונים.
תוכל מן הסתם למצוא עוד הרבה כתבות בנושא.

לסיכום רק נסיים בציטוט מהמנואל של PHP:

ציטוט:

The PHP safe mode is an attempt to solve the shared-server security problem. It is architecturally incorrect to try to solve this problem at the PHP level, but since the alternatives at the web server and OS levels aren't very realistic, many people, especially ISP's, use safe mode for now.

תמצית: safe mode הוא פתרון לא נכון מבחינה ארכיטקטורית, אבל מכיוון שאין פתרונות טובים יותר בשלב זה ברמת השרת ווב או המערכת הפעלה.

ונזכיר שכל חודש צץ איזה חור אבטחה חדש שקשור לעקיפת הsafe mode וגם שסייף מאוד הולך בPHP 6.
לדעתי זה בדיוק הזמן עכשיו להערך לפתרונות אחרים.

mtk · 14-12-08, 15:37

ציטוט:

נכתב במקור על ידי SDF

אני כשאני קונה חשבון אחסון, אני מצפה לקבל גישה לשלל על גבי SSH.
במה זה שונה מלעשות exec?

נראה לי זו השוואה לא נכונה.
אתה בתור בעל האחסון, תעשה מה שאתה רוצה בשרת שלך, אפילו תפרוץ לעצמך...

אתר מאוחסן על השרת, יכול לשים סקריפט PHP פשוט, שיריץ פקודות מערכת בעזרת EXEC.
במקרה הגרוע יותר, פורץ יפרות לחשבון שמאוחסן על השרת ויעשה את אותה פעולה פשוטה...

ציטוט:

נכתב במקור על ידי SDF

מחיפוש ראשוני שלי בגוגל עולה:
http://hostingfu.com/article/running...shared-hosting
שזה נוגע על קצה המזלג בבעיה ובפתרונות השונים.
תוכל מן הסתם למצוא עוד הרבה כתבות בנושא.

לסיכום רק נסיים בציטוט מהמנואל של PHP:

תמצית: safe mode הוא פתרון לא נכון מבחינה ארכיטקטורית, אבל מכיוון שאין פתרונות טובים יותר בשלב זה ברמת השרת ווב או המערכת הפעלה.

ונזכיר שכל חודש צץ איזה חור אבטחה חדש שקשור לעקיפת הsafe mode וגם שסייף מאוד הולך בPHP 6.
לדעתי זה בדיוק הזמן עכשיו להערך לפתרונות אחרים.

יש אצלי בשרת האופציה השלישית המדוברת כאן (כלומר, הרצה ייחודית לכל משתמש).
האם (שאלתי את זה קודם), אני יכול להפעיל את EXEC חזרה, ולהיות רגוע?

אם כן, זה פותר לי את בעיית IMAGEMAGICK באופן מוחלט...

SDF · 14-12-08, 15:49

ציטוט:

נכתב במקור על ידי mtk

נראה לי זו השוואה לא נכונה.
אתה בתור בעל האחסון, תעשה מה שאתה רוצה בשרת שלך, אפילו תפרוץ לעצמך...

אתר מאוחסן על השרת, יכול לשים סקריפט PHP פשוט, שיריץ פקודות מערכת בעזרת EXEC.
במקרה הגרוע יותר, פורץ יפרות לחשבון שמאוחסן על השרת ויעשה את אותה פעולה פשוטה...

לא הבנת, יש לי חשבון בשרת שיטופי עם גישה בSSH.
אני מחשיב את זה למשהו בסיסי.

תפעיל את האפשרות הזאת שיש לך ותבדוק:

PHP קוד:


			
<?php 

 system("id"); 

 echo "\n<br />";

 echo php_sapi_name();

?>

mtk · 14-12-08, 15:57

כן, גם אני רואה בSSH משהו בסיסי, אבל זה לא אותו דבר.

בכל מקרה, נהורדתי את EXEC מרשימת ה-disable_functions
הרצתי את הקוד PHP שלך, והאמת שID לא מחזיר לי כלום...
דווקא מתוך SSH הוא כן

SDF · 14-12-08, 21:08

אולי כי system() וexec() זה לא בדיוק אותו דבר =)

PHP קוד:


			
<?php

echo exec("id");

 echo "\n<br />";

 echo php_sapi_name(); 

?>

ומה הSAPI מחזיר?

mtk · 14-12-08, 21:14

OK, זה היה SYSTEM פשוט הפונקציה הייתה חסומה גם כן

לא רק שזה עובד ומחזיר את היוזר הנוכחי (בעל החשבון ולא בעל השרת או APACHE), גם הצלחתי להתקין IMAGEMAGICK ולגרום לזה לעבוד כמו שצריך...

SDF · 14-12-08, 22:05

אז יופי טופי אני מניח =)
לא אמרת מה מחזיר לך הSAPI.

14-12-08, 13:28	# 1
mtk חבר חדש דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: May 2007 הודעות: 20	exec disabled שלום לכל בעלי שרתי האחסון. רציתי לשאול מהנסיון האישי/טכני/עסקי של כל אחד מה התחליפים שאתם משתמשים עבור תלונות המשתמשים (לקוחות אחסון בשרת) על exec disabled. ברור לי כי ישנה בעיית אבטחה עם הפונקציה exec, אבל חייב להיות פתרון. למשל, ספריית התמונות imagemagick צריכה את EXEC בשביל לפעול (לפחות ככה זה מוגדר כברירת מחדל). האם שרתים שיש להם את imagemagick מקומפל עם הPHP, מציעים אלטרנטיבות למשתמשים, כגון הספרייה העצמאית: imgaick? __________________ MtK - מומחה ג'ומלה ו-RTL \| אחסון אתרים גן פו הדב \| גן מעיין \| ג'ומלה!ישראל \|הכרויות Last edited by mtk; 14-12-08 at 13:33..

14-12-08, 14:38	# 2
SDF חבר בקהילה דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Sep 2006 מיקום: Negev הודעות: 270	אתה יכול להתקין MagickWand, שיחליף את הצורך בexec עבור ImageMagick. לגבי ביטול ה-exec, כל מי שמבטל את exec מחפה פשוט על בעיית אבטחה אחרת: שכל הסקריפטים של PHP רצים תחת המשתמש של אפאצ'י. תראה למשל את hostgator, שם כל הסקריפטים רצים תחת הבעלים שלהם, ולא תחת היוזר של אפאצ'י, ולכן גם אין להם שום בעיה לתת לך את exec ודומייהן. __________________ FreeBSD, a *nix operating system

14-12-08, 15:57	# 7
mtk חבר חדש דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: May 2007 הודעות: 20	כן, גם אני רואה בSSH משהו בסיסי, אבל זה לא אותו דבר. בכל מקרה, נהורדתי את EXEC מרשימת ה-disable_functions הרצתי את הקוד PHP שלך, והאמת שID לא מחזיר לי כלום... דווקא מתוך SSH הוא כן __________________ MtK - מומחה ג'ומלה ו-RTL \| אחסון אתרים גן פו הדב \| גן מעיין \| ג'ומלה!ישראל \|הכרויות

14-12-08, 21:08	# 8
SDF חבר בקהילה דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Sep 2006 מיקום: Negev הודעות: 270	אולי כי system() וexec() זה לא בדיוק אותו דבר =) PHP קוד: `<?php echo exec("id"); echo "\n<br />"; echo php_sapi_name(); ?>` ומה הSAPI מחזיר? __________________ FreeBSD, a *nix operating system

14-12-08, 21:14	# 9
mtk חבר חדש דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: May 2007 הודעות: 20	OK, זה היה SYSTEM פשוט הפונקציה הייתה חסומה גם כן לא רק שזה עובד ומחזיר את היוזר הנוכחי (בעל החשבון ולא בעל השרת או APACHE), גם הצלחתי להתקין IMAGEMAGICK ולגרום לזה לעבוד כמו שצריך... __________________ MtK - מומחה ג'ומלה ו-RTL \| אחסון אתרים גן פו הדב \| גן מעיין \| ג'ומלה!ישראל \|הכרויות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

14-12-08, 22:05	# 10
SDF חבר בקהילה דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Sep 2006 מיקום: Negev הודעות: 270	אז יופי טופי אני מניח =) לא אמרת מה מחזיר לך הSAPI. __________________ FreeBSD, a *nix operating system

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)