FollowSymlinks σε cgi-bin directory στον Apache

[Giorgos Keramidas]

On Wed, 22 Apr 2009 17:17:14 +0300, George Notaras <gnot at g-loaded.eu> wrote:
> Δοκιμάζω κάτι στον apache, το οποίο για να δουλέψει, μάλλον χρειάζεται
> να ενεργοποιήσω το option FollowSymlinks για το scriptaliased directory,
> όπως για παράδειγμα παρακάτω:
>
>   ScriptAlias /test/ "/var/www/user1/test/"
>   <Directory "/var/www/user1/test">
>       Options FollowSymlinks
>       AllowOverride None
>       [...]
>   </Directory>
>
> Είναι βλακώδες το παραπάνω configuration;

Θεωρητικά το FollowSymlinks επιτρέπει σε κάποιον που χάκεψε ένα CGI εκεί
μέσα να προσπελάσει οποιοδήποτε μέρος του filesystem είναι readable ή
writable από τον χρήστη με τον οποίο τρέχει το apache.

Αν σε ενοχλεί αυτό ή το httpd τρέχει με πρόσβαση σε δεδομένα που ίσως δε
θα 'πρεπε να είναι εν δυνάμει readable από CGI script hacks, μπορείς να
ορίσεις το ScriptAlias να δείχνει σε ένα 'safe' μέρος, π.χ.:

    ScriptAlias /test/ "/var/www/cgi.d/project1/"
    <Directory "/var/www/cgi.d/project1/">
      AllowOverride None
    </Directory>

και να στήσεις ένα cron job που μεταφέρει (π.χ. με rsync) τα scripts από
το 'safe' common directory `/home/p/project1/cgi' στο script-aliased tree.

Έτσι οι users του `project1' μπορούν να κάνουν ότι θέλουν στο κοινό τους
directory, αλλά δεν είσαι υποχρεωμένος να ενεργοποιήσεις το FollowSymlinks
option.