バイナリCGIのみ禁止

また、以下のような方法も考えられます。 １．suexec環境 　必須です。汗 ２．コンパイル環境を阻止する。 　ユーザーをある１つのユーザーにまとめておき 　コンパイラ等は、chmod 705 にしておく。 　対象コマンドは、gcc,g77,make,yacc,g++....（まだ沢山） 　Web上からtelnetもどきができてしまうことを考慮してのことです。 ３．perlのみ許可するのであれば？ 　mod_perl環境にするのも手かな？汗（このあたりは詳しくないです） 他にも ・マイナーなOSを使う、例えばNetBSDとか、意外と・・・ 　バイナリ互換がきつくなります。 ・OSのソースを書き換えてしまう 　ld-linux.so とか必ず読みそうなライブラリの名前を変えてしまう等 （もちろん、アプリケーション等もすべてソースから構築です） ・いっそのこと高いけど、CPUをItaniumにする？バイナリがほとんど転がっていません。 難しいことばかりですが、＃２の回答（後から追加　汗）のsuexecの改造と、この回答の１，２以外の内容でやろうとしても 効果はあったとしても、極端な手間がかかるって所でしょうか。 ＃１さんのいわれる、ファイルのアクセスの必要性ですが、＃２の方法であれば １ファイルオープンしたとしても現在のサーバーでは大した負荷ではないと思われます。プロセスを新規に実行しているわけでもないので・・・

suexecを使用する形であれば可能ですが、C言語の知識と、 Apacheのアップデートごとにsuexecのメンテナンスが必要になります。 相当昔のバージョンでやったことがあるのですが、ソースを紛失してしまったので、やり方だけでも・・・ 1. 以下のような行のようなものを探す 　　if ((cmd[0] == '/') || (!strncmp(cmd, "../", 3)) 　　　　|| (strstr(cmd, "/../") != NULL)) { 　　　　log_err("invalid command (%s)\n", cmd); 　　　　exit(104); 　　} 2.コマンド名を一度変数にコピー 　char cmds[256]; 　strncpy(cmds,cmd,256); 3.最初のスペースを￥０にする 　if(strchr(cmds,' ')) { 　　*strchr(cmds,' ')='\0'; 　} 4.そのファイルの最初の３文字を読み込む 　＃本来は、Apache用のファイルI/O関数を使ってください。 　FILE *fp; 　char testbuff[4]; 　if((fp=fopen(cmds,"r")) != NULL) { 　　fread(testbuff,3,1,fp); 　　fclose(fp); 5. ３文字が、「#!/」でなければエラー 　　testbuff[4]='\0'; 　　if(strcmp(testbuff,"#!/") != 0) { 　　　　exit(104); 　　} 　} 　　　 ここでの注意ですが・・・ 以下のようなSSIも禁止にしてしまいますｌ。 <!--#exec include="/bin/cat testfile"--> で、shellを経由してしまうと、バイナリも実行できてしまいます。 #!/bin/sh ./chat.cgi.main 　↑の実態はバイナリ 最小限食い止めるだけであれば、こんな方法でも効果があります。