Frage zu Dateiberechtigungen

[Chiruge]

Hallo, ich habe schon öfters mitbekommen, dass ein Forum, Server oder Ftp Zugang gehijacked wurde, weil die File Permissions bzw. Dateiberechtigungen falsch gesetzt waren.
Was hat es damit auf sich? Der Angreifer hat doch bei einer vorhandenen Index garnicht die Möglichkeit irgendwie auf das Verzeichniss zuzugreifen, solang er keinen Ftp Account hat, oder hab ich nen denkfehler?

Mfg

 

[Lord Gurke]

Wenn die Dateiberechtigungen zu feizügig gesetzt sind, besteht eine deutlich größere Gefahr, dass eine Sicherheitslücke im Forenscript ausgenutzt wird, um die Dateien auf dem Dateisystem zu manipulieren.

Wenn die Dateien des Forums dem FTP-User und der FTP-Gruppe angehören, kann der www-data die Dateien lesen - und das war es dann auch.
Setzt man nun auf einzelne Dateien die Berechtigung 0777, gibt also jedem Benutzer aus jeder Gruppe volle Schreibrechte auf die Datei, kann natürlich auch wieder der www-data in den Dateien herumschreiben und sie dabei dann natürlich verändern oder löschen.
Und wenn dann ein Verzeichnis die Rechten 0777 hat und eine Lücke in einem Dateiupload-Script für Avatare ist, kann jemand vielleicht sogar eine beliebige PHP-Datei (beliebt dabei die c99.php) hochladen und auf dem System tun und lassen, was er will.

 

[Chiruge]

Ah verstehe, werd mich da mal bischen einlesen.
Danke für die schnelle und ausführliche Antwort

 

[matzewe01]

Und wenn dann ein Verzeichnis die Rechten 0777 hat und eine Lücke in einem Dateiupload-Script für Avatare ist, kann jemand vielleicht sogar eine beliebige PHP-Datei (beliebt dabei die c99.php) hochladen und auf dem System tun und lassen, was er will.

-> Zur Ergänzung muss man aber sagen, gerade bei upload Funktionen insbeondere wenn man diese selbst implementiert, sollte man den Dateityp genau prüfen, der hochgeladen werden darf. Über htacess oder generell der Webserverkonfiguration regeln, dass in den upload Ordner z.B. nur gelesen werden darf und eben keine code ala PHP Script ausgeführt werden darf.

Ansonsten bringt einem das ganze setzen der Dateiberechtigungen "nichts".
Denn der Arbeitsbenutzer darf ja i.d.R. trotzdem.
Was das grössere Problem ist, dass bei laschen Berechtigungen etc. Kunden auf Deinem System andere Kunden stören können oder gar an "persönliche/vertrauliche" Daten gelangen können.