はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2018/05/30
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 当サイト情報 >> スレッド

このページは表示専用です。新規投稿・レスや最新情報はこちらです。

 パーミッションの設定
日時: 2006/05/26 20:12
名前: ごり

あるサイトでこのような文章を見つけました。

すぐ使えるCGI トップ > サポート情報・FAQ > サポート情報 > CGIのパーミッションに関する詳しい説明
CGIのパーミッションに関する詳しい説明

CGIのパーミッションに関する一般的な情報と、すぐ使えるCGIの製品ファイルの設定について説明します。

サーバ環境のパターン
CGIのパーミッションの設定は使用するサーバ環境に合わせて変更する必要があります。
サーバ環境には大きく分けて2つのパターンがあります。下記に例を挙げますが、詳細の設定はご使用のサーバの情報をよく調べて下さい。

タイプ1:CGIを「その他」のユーザで実行する設定のサーバの場合
「nobody」など、ファイルの所有者でないユーザとしてCGIが実行されます。

一般的な傾向としては、旧くからサービスを行っているレンタルサーバ会社や、専用サーバ、準専用サーバなどに多い設定です。
最近の専用レンタルサーバなどでは、「apache」というユーザで実行されるように設定されている場合もあります。




このタイプのサーバの場合、CGIファイルは「nobody が実行可能」に設定し、CGIが書き込みをするファイルやディレクトリは「nobody が書込み可能」に設定しておく必要があります。

具体的なユーザ名としては「nobody」以外にも上記「apache」など色々バリエーションがありますが、UNIX系のシステム(Linux や FreeBSD など)では全ユーザ(anyone や others)に対する権限の設定となります。

タイプ2:CGIをファイルの所有者で実行する設定のサーバの場合
一般的な傾向としては、最近の共用レンタルサーバ会社に多い設定です。
「suExec が設定してある」「suExec で稼動する」等の記載があればこのタイプです。

ファイルの所有者(通常は、レンタルサーバの利用ユーザ名)でCGIが実行されますので、CGIファイルには「所有者が実行可能」、CGIが書き込みをするファイルやディレクトリには「所有者が書込み可能」などの権限を設定する必要があります。

suExec が設定してある場合、サーバによっては、「所有者以外のユーザに権限があるとCGIが稼動しない」という設定がされている場合もあります。
使用するサーバの説明書等をよく調べて下さい。

当サイトのfedoracoreはタイプ1だと思うのですがその場合
CGIのLOCKファイルのパーミッションは777でないとCGIが稼動しないと思うのですが
777だとセキュリティー的に不安です。
何か対応策はありませんか??

■ コンテンツ関連情報

 Re: パーミッションの設定 ( No.1 )
日時: 2006/05/27 13:33
名前: house
参照: http://www.shiawase-home.com/

こんにちは。
私はまだ勉強中なので、根本的な回答になりませんが、
とりあえずの対応として

777
755
707
705
700

という風にパーミッションの数字を落としていって
稼動するぎりぎりの数値で
とりあえず運用してみてはいかがでしょうか?
 Re: パーミッションの設定 ( No.2 )
日時: 2006/05/27 21:05
名前: 管理者

houseさんの言っている事に一理ありますね。

ただ、ごりさんはどの様な体系でWebを公開されているのでしょうか?
apacheのみ?(いわゆる、一般ユーザのWeb公開はさせていないのでしょうか?)

フリーのCGIを公開している所は、パーミッション777とかとんでもない数値にしろと言っていますが、これはごりさんがお調べした様にWebスペースを公開している仕様によります。
other権限で実行させなければいけない場合は"**x"でなければいけません。
(上記のxは実行権を表す)

> CGIのLOCKファイルのパーミッションは777でないとCGIが稼動しないと思うのですが
> 777だとセキュリティー的に不安です。

上記は、お間違いだと思うのですが・・・(Lockファイルに実行権は付きません。)
666だと思うのですが・・・・

以下に一般ユーザ公開をさせず、標準的なWebServer(apache)プロセスで動く場合のパーミッションを記します。
プロセス(apache:apache)で動作する場合。←(オーナ:グループ)を表していています。

html・htm・shtml等のファイル   :660 or 440
cgiやpl(実行を要とするpl)ファイル:770 or 550
データファイル(掲示板データ等)  :660
その他              :440

上記の様に、otherには一切パーミッションを与えていません。(極端に言えばgroupにも与えなくてもいいですが・・)
上記のプロセスで実行されるなら、オーナのみの権限でも問題ありません(?00の様に・・・)

ごりさんが心配されるパターンとしては「一般ユーザに公開させる」場合ではないでしょうか?
また、要注意しなければいけないのは、FreeのCGIです。
スクリプトをある程度読める場合は問題ありませんが、中には悪さをするCGIなどありますからね。
(自破壊CGIや、重要データを何処かに送信するものなど多々あり。)


対策方法をお聞きになる前に、ご自身がどのような環境でどの様に公開(提供)するのか書いていただければ、もう少し具体的にお答えできると思います。

■ その他

ページ先頭へ


Copyright(©)2004-2018 First home server construction. All Right Reserved.