Dbając o bezpieczeństwo Państwa informacji przechowywanych na naszych serwerach dokonujemy aktualizacji naszego oprogramowania. Jednakże w związku ze zmianą wersji systemu, prosimy użytkowników zaawansowanych serwisów opartych w szególności o skrypty 'php', o zapoznanie się z listą zmian.
Jednocześnie zapewniamy iż system ten przeszedł już nasze testy i ze swojej strony dołożyliśmy wszelkich starań aby zmiany te przeszły bezawaryjnie, ale prosimy również o zapoznanie się użytkowników gdyż może się okazać iż część stron może przestać działać prawidłowo. Upgrade będzie wykonywany 24.03.2004 r. w godzinach 6.00 - 7.30. Szczegółowa lista zmian jest dostępna poniżej:
1. Apache działa na prawach użytkownika.
Cel: Skrypty z różnych kont ftp nie będą miały prawa odczytać plików z innych kont ftp.
Następstwa:
a) wszystkie skrypty php, ssi, cgi działają na prawach właściciela konta ftp,
b) w czasie wysyłki zwykłego pliku .html, .gif wystarczającym jest aby posiadał on prawo dla właścicela,
c) zbędne są więc prawa dla innych, za wyjątkiem plików, które mają być współdzielone przez kilka kont ftp,
d) aplikacja www (w php, cgi) będzie miała prawo do modyfikacji wszystkich plików na koncie ftp na którym działa.
e) właścicielem nowych plików tworzonych przez oprogramowanie strony jest prawidłowy użytkownik, a nie http jak do tej pory.
Zalecenia:
a) Należy stopniowo poprawiać prawa na kontach ftp, a także skrypty, tak aby pliki tworzone z poziomu aplikacji www miały minimalne prawa.
b) Wszelkie włamanie do skryptu na stronie www wiąże się z możliwością podmiany zawartości tej strony, należy więc dokładnie sprawdzić jakość zainstalowanego oprogramowania.
2. Prawa do katalogów domowych użytkowników ftp zmieniają się na 770.
Cel: zablokowanie dostępu do plików pozostałym użytkownikom
Następstwa: jeżeli pliki z danego konta ftp są współdzielone pomiędzy innymi kontami ftp spowoduje to problemy z odczytem plików. W takim przypadku należy przywrócić prawo do wykonywania dla innych, albo zmienić kod aplikacji.
3. Zablokowanie możliwości dostępu do stron www konkretnego konta ftp przy pomocy /~ftp/.
Cel: jest to niezbędne w nowej konfiguracji serwera.
Następstwa: nie będzie można odwołać się to strony w ten sposób
Zalecenia: proszę sprawdzić strony na serwerze i zmienić wywołania na takie, które nie wykorzystują tej metody odwołania do stron www.
4. Zmiana właścicela plików na koncie ftp.
Cel: uniknięcie problemów z dostępem do plików, których właścicelem jest użytkownik http.
Następstwa: wszystkie pliki, których właścicelem jest użytkownik http zmienią właścicela na użytkownika ftp na którym plik ten się znajduje.
5. Dostęp do statystyk poprzez https.
Cel: zwiększenie bezpieczeństwa
Następstwa: w przypadku wejścia poprzez http zostanią Państwo przekierowani automatycznie na https.
6. Zmiana w konfiguracji php: allow_url_fopen = Off .
Cel: zwiększenie bezpieczeństwa skryptów php, stabilności i bezpieczeństwa serwera www, zwiększenie wydajności działania serwera www.
Opis: zmienna php "allow_url_fopen" konfiguruje możliwość traktowania adresów URL jako plików. Dzięki temu można używać URL np. w funkcjach:
fopen()
include()
require()
Właściwość tam może prowadzić do wielu problemów:
a) jej nieprawidłowe użycie jest przyczyną wielu włamań do serwisów napisanych w php.
Kostrukcja:
php include($file)
pozwala włamywaczowi wykonać na serwerze dowolny kod php.
b) może doprowadzić do zapętlenia i w rezultacie blokady serwera www:
www.example.com/test.php:
include("http://www.example.com/test.php")
taka konstrukcja doprowadzi do zablokowania serwera www.
c) w przypadku kiedy tak wywoływany host jest nieosiągalny strona będzie ładowała się bardzo długo.
Następstwa: wszelkie serwisy w których została ta konstrukcja użyta przestaną działać poprawnie.
Zalecenia: proszę przeszukać strony na serwerze i zamienić wszelkie wywołania na takie, które nie używają url. Miejsca, gdzie otwarcie zdalnej strony jest niezbędne proszę użyć modułu curl - http://www.php.net/manual/en/ref.curl.php
7. mod_perl .
Cel: zwiększenie wydajności i funkcjonalności języka perl
Opis: dojdzie do następujących zmian w konfiguracji serwera:
a) jeżeli odwołanie do skryptu jest poprzez alias /cgi-bin, skrypty z rozszerzeniem .cgi będą wykonane jako cgi tak jak do tej pory, skrypty z rozszerzeniem .pl zostaną wykonane poprzez mod_perl, w trybie w którym każde wywołanie skryptu powoduje ponowną jego kompilację (tryb wolniejszy, ale bezpieczniejszy).
b) jezeli odwołanie jest poprzez alias /cgi-perl, to wszystkie skrypty zostaną wykonane poprzez mod_perl (bez względu na rozszerzenie), w trybie który wymusza każdorazową kompilację kodu.
c) odwołanie poprzez alias /mod-perl spowoduje, że skrypty zostaną wykonane poprzez mod_perl w trybie, w którym wynik kompilacji skryptu zostaje przechowany i w przypadku ponownego wywołania nie ma konieczności ponownej kompilacji. Jest to najszybszy tryb pracy mod_perl, jednak niektóre skrypty mogą odmówić pracy w przypadku jego wykorzystania.
Aliasy /cgi-bin, /cgi-perl, /mod-perl wskazują na ten sam katalog:
public_html/cgi-bin
Zalecenia: wskazane jest przetestowania skryptów cgi działających na serwerze. Zalecamy także aby po uprzednich testach uruchamiać skrypty perla poprzez alias /mod-perl.
| tel. (012) 681 37 01 (8-16), 0601 615 514 (po 16-tej), fax: (012) 395 38 81 email:biuro@wer.pl |