ベストアンサー

パーミッション600でもブラウザからアクセス出来る

2008/04/21 16:00

いつもお世話になります。 1.FTPでtest.lzhというファイルをアップし、パーミッションを600にしたもの 2.perlで組んだファイルアップロードCGIを使ってtest.lzhを1と同様の場所にアップしたもの（perlでchmodで600に）ブラウザ上から1の場合はアクセス拒否されるのですが、2の場合は普通にアクセス出来てしまいます。所有者が異なると、同じパーミッションでも違う動きをするのでしょうか？ 2のケースでもアクセス拒否させる方法はあるのでしょうか？基本的な考え方を間違えていたら済みません。宜しくお願い致します。

mm666
お礼率92% (58/63)

Perl
回答数3
ありがとう数3

みんなの回答 （3）
専門家の回答

質問者が選んだベストアンサー

ベストアンサー

tamahiro22
ベストアンサー率44% (8/18)

2008/04/21 19:39 回答No.2

SuEXECモジュールが Apache に組み込まれている場合、 CGI に限り、そのスクリプトの所有者が実行する形となります。質問者さまのサーバでは、SuEXECが導入されていないようです。つまり、１の場合、test.lzh のパーミッションは 600 なので、 “所有者”しか読み込みと変更ができません。ウェブサーバを介すると、ウェブサーバが読み込むので、 “その他”に分類されるアクセスであり、弾かれるということです。２の場合は、スクリプトがウェブサーバによって実行された為、アップロードされた test.lzh の所有者はウェブサーバと同一になります。そうなると、600 というパーミッションで制御していても、所有者であるウェブサーバを介すると読み込めてしまいます。対処法ですが、SuEXEC 環境でない限り、パーミッションでの制御は難しいと思います。アップロード先のディレクトリを public_html より上にする等、工夫をすれば良いかもしれません。

質問者

お礼 2008/04/22 09:36

tamahiro22さま、ありがとうございます。 > ２の場合は、スクリプトがウェブサーバによって実行された為、 > アップロードされた test.lzh の所有者はウェブサーバと同一になります。 > そうなると、600 というパーミッションで制御していても、 > 所有者であるウェブサーバを介すると読み込めてしまいます。このあたりが全く理解出来ていませんでした。今回教えて頂き、駄目だった理由を知る事が出来ました。ありがとうございます。教えて頂いたように、アップロード先をwebからアクセス出来ない階層とする事で対応したいと思います。

その他の回答 (2)

umasikajiro
ベストアンサー率67% (545/803)

2008/04/22 07:10 回答No.3

他の方も書かれているようにSuEXECでは無いとして FTPなど(或いは読むための専用CGI)だけで読めてwebからは読めなくするには１． #2さんの書かれた公開ディレクトリ以外の場所に保存する２.　file名の頭に . をつけると通常はアクセス出来ません３． fileを暗号化する http://www.sea-bird.org/doc/Solaris8/Perl_1.html 例えばユーザー：tarou　other：apache で質問のような形でアップロードされたFileは SuEXECの場合所有者:tarou パーミッション:600　ですが SuEXECでない場合所有者：apache パーミッション:600 となり　FTPなどでユーザーtarouでログインして見た場合　　パーミッションが逆に 006 になってしまうと思います。またother権限で動いているCGIによってfileを所有者：tarou にすることも出来ないはずです

質問者

お礼 2008/04/22 09:42

umasikajiroさま、ありがとうございます。今回、webからアクセス出来ないところに保存する方法を取ろうと思いますが、ファイルの先頭に「.」を付ける方法、暗号化の方法などもあると分かり、とても助かります。また、SuEXECの場合とそうでない場合の説明も大変分かりやすく、動きが理解出来ました。ありがとうございます。 > またother権限で動いているCGIによってfileを所有者：tarou にすることも出来ないはずです当初所有者を変えればいいと思ってchownを試していたのですが、おっしゃる通り所有者を変える事は出来ませんでした。沢山のアドバイスをありがとうございました。