RV: [LUG.ro] Jornadas y Comandos root en PHP

Arino Omar lugro@lugro.org.ar
Fri, 25 Nov 2005 16:08:58 -0300


Webmin está escrito en PERL. La consulta está en como hacer algo similar en PHP, consulta que muchos programadores PHP hemos tenido y que cuando comprendes como funciona el lenguaje te das cuenta lo bien que hicieron en no ponerlo...
PHP es un lengua muy poderoso y flexible, pero en el que el programador debe ser muy cuidadoso al programarlo. Además muchos administradores de servidores web no siguen las recomendaciones de los desarrolladores de PHP en bloquear la variable PHP_GLOBAL de la configuración de PHP, que fuerza al programador a escribir código seguro, dejando flores de agujeros de seguridad en el código. Se puede hablar mucho sobre este tema, y es una de las razones por la que se critica al lenguaje, opinión que no comparto, por que trato de escribir el código tomando todas las variables como inseguras.

Omar

-----Mensaje original-----
De: lugro-admin@lugro.org.ar [mailto:lugro-admin@lugro.org.ar] En nombre de J. Mario Oroz
Enviado el: Viernes, 25 de Noviembre de 2005 03:34 p.m.
Para: lugro@lugro.org.ar
Asunto: Re: RV: [LUG.ro] Jornadas y Comandos root en PHP

Ramiro Caire escribió:

>El vie, 25-11-2005 a las 12:09 -0300, Pablo escribió:
>  
>
>>Y llamando a "/etc/init.d/servicio restart"   ?????
>>    
>>
>
>esto solo lo hace root, de ahi la consulta...
>
>
>
>  
>
>>Saludos. Pablo.
>>
>>-----Mensaje original-----
>>De: lugro-admin@lugro.org.ar [mailto:lugro-admin@lugro.org.ar] En nombre de
>>Mey Linux
>>Enviado el: Viernes, 25 de Noviembre de 2005 11:51 a.m.
>>Para: lugro@lugro.org.ar
>>Asunto: Re: RV: [LUG.ro] Jornadas y Comandos root en PHP
>>
>>Ouch!
>>
>>basicamente.. lo que tengop que hacer es reiniciar un servicio
>>(ctshaper) desde una PHP.. no se va a poder?
>>
>>MEY
>>
>>El vie, 25-11-2005 a las 11:20 -0300, Arino Omar escribió:
>>    
>>
>>>Imposible!!!!!
>>>Una restricción que posee PHP es la de no permitir el cambio de usuario.
>>>      
>>>
>>Es una regla de seguridad. Ya de por sí, si escribís un código PHP inseguro,
>>es un peligro, imaginate si le das permiso de ROOT. Lo que sí es posible es
>>hacer que cada sitio configurado en APACHE corra sus script como el usuario
>>dueño del directorio (así lo configura el webmaster), pero esto es solo para
>>tener un control mas profundo sobre los movimientos maliciosos de los
>>usuarios, cuando estas brindando servicios web a terceros y no podes
>>controlar todo el código PHP que suben al servidor. 
>>    
>>
>>>Omar.
>>>
>>>-----Mensaje original-----
>>>De: lugro-admin@lugro.org.ar [mailto:lugro-admin@lugro.org.ar] En nombre
>>>      
>>>
>>de Mey Linux
>>    
>>
>>>Enviado el: Viernes, 25 de Noviembre de 2005 09:41 a.m.
>>>Para: lugro@lugro.org.ar
>>>Asunto: [LUG.ro] Jornadas y Comandos root en PHP
>>>
>>>
>>>Ahora el otro tema:
>>>Necesito ejecutar comandos root desde una pagina PHP (apache2, PHP4,
>>>debian sarge). Para ejecutrar los comandos utilizaria:
>>>
>>>exec("command"); 
>>>
>>>pero en ese caso el que los ejecuta es el usuario www-data:www-data ,no?
>>>y me parece medio arriesgado hacerlo miembro del grupo root
>>>
>>>
>>>      
>>>
Talvéz la respuesta a este problema la tengas en los fuentes del Webmin, 
no te parece.
Por lo que tengo entendido -y aparte lo uso- se puede reiniciar o apagar 
el servidor
desde la interface web que provee.
Saludos.
Mario

_______________________________________________
Lugro mailing list
Lugro@lugro.org.ar
http://www.lugro.org.ar/mailman/listinfo/lugro