kinsan
freel****@nifty*****
2005年 10月 10日 (月) 16:52:53 JST
パーミッションの問題ですので、プロセスがどういうユーザー 及びグループで実行されているかが重要です。 特に不特定のユーザーを対象としているISPなどのサーバーでは グループパーミッションを活用していることってほとんど無い と予想出来ますので、グループへのパーミッションは、Otherへ のパーミッションと同じにしておけば良いと、私は考えます。 グループパーミッションについて、こう割り切ってしまうと、 後はどのユーザーでWebサーバーのプロセス(apacheのhttpdなど) が実行されているかということですが、それは次の3つのいづれ かとなります。 (1) suExecを用いるなどにより、CGIの所有者のユーザー権限で 実行 (2) root権限で実行 (3) webサーバーデーモン用に用意したユーザーの権限で実行 (2),(3)の場合には、パーミッションだけから考えると、セキュ リティーやプライバシーなどの問題が出る危険性がありますが、 chrootの機能を使い、かつ不適切なシステムコールやコマンド が実行されない様にするなどの防衛策をきちんと取っていれば、 回避出来ますので、それらを含めてISPなどを評価すべきです。 (例えば、Niftyは防衛策で頑張っているやり方のようです。) 推奨のパーミッションという意味では、(1)の場合を想定して おき、それで駄目な場合について、(3)の場合のパーミッション を示しておけば良いのではないでしょうか。 ( (2)の場合には、(1)の場合のパーミッションで問題なく実行 出来るでしょうから。)
Fork