cpanel - securitate

[serban]

salut

dupa o lunga perioada de cercetari si teste, si dat fiind faptul ca majoritatea providerilor de hosting web din Romania folosesc cpanel, am decis sa deschid acest subiect, si anume al securitatii serverului care ruleaza cpanel.

nu stiu cati dintre dumneavoastra cunosc ultimele buguri cpanel, dar sunt sigur ca 99% folosesc si ruleaza PHP sau Perl pentru clienti.

problema este urmatoarea:
cpanel nu ofera un environment chrooted corect, deci utilizatorul (clientul) poate iesi din propriul 'box' (/home/client/, cu ajutorul unor functii din php mai mult sau mai putin restrictionate.
adica sa zicem ca rulati PHP pe server, si nu folositi safe_mode, pentru ca nu ati rezolva nimic, si nu ar merge corect majoritatea scripturilor.
optiunea open_basedir din php.ini nu este nici ea eficienta la acest capitol, pentru ca incep problemele la scripturi care folosesc include(), si acceseaza fisiere aflate in alt nivel de directoare.
singurul refugiu in php.ini este restricted_functions, unde putem insirui o serie de functii care au legatura directa cu shellul, de pilda exec, popen, shell_exec, etc.

toate bune si frumoase, sa zicem ca folosim directiva restricted_functions pe toate aceste functii, insa raman celelate cu ajutorul carora se pot mani*ula fisiere, ex virtual, show_source, readfile, fopen, fread etc. care NU POT fi restrictionate pentru ca scripturile clientilor nu ar mai merge corect.

ideea este ca in comparatie cu plesk si ensim, cpanel nu ofera siguranta permisiilor corecte, prin care sa ne asigure ca utilizatorul x nu face browsing prin directorul utilizatorului y.

dupa ce am discutat cu cateva persoane din stafful cpanel (care au inceput sa piarda clienti din aceasta cauza), se pare ca se are in vedere un proiect prin care sa se ofere o mai mare siguranta clientilor (vezi. http://forums.cpanel.net/showthread.php?s=&threadid=18902&perpage=15&pagenumber=6 ).

Cititi ce am scris in acel post, despre conturile de tip demo, si despre anumite reguli de securitate care ar trebui insusite.

Astept reply-uri cu completari, sugestii, corectari. Poate nu m-am facut inteles, si nu am scris destul de clar totul. Doresc sa discut pe aceasta tema cu oricine interesat.

Serban Gh. Ghita

[kwha_net]

open_basedir e setat pe home directory pt. fiecare user in parte si asta elimina problemele cu php-ul, cgi-urile ruleaza cu uid/gid individual iar pe directorul de mail/public_html/etc, "others" nu au nici un drept deci iarasi nu e nici o problema. poate imi dai un exemplu concret de vulnerabilitate.

Marius

[dt]

open_basedir este ok pentru functiile PHP dar nu si pentru executia de comenzi externe (cu exec). Un shell-script rulat din PHP se executa ca user nobody si teoretic poate citi toate fisierele celorlalti utilizatori (fisiere la care are acces serverul web).

Problema nu este doar la CPanel .. este mai mult din cauza PHP/Apache, ca nu poate rula scripturile cu alt user. Frumos ar fi fost ca apache-ul sa acceseze fiecare virtualhost cu un alt user/grup si atunci nu mai apareau probleme.

Pe mine ma deranjeaza sa dezactivez "exec" pt ca folosesc imagemagick din linia de comanda .. dar am impresia ca exista si un modul pt php.

[serban]

open_basedir este ok pentru functiile PHP dar nu si pentru executia de comenzi externe (cu exec). Un shell-script rulat din PHP se executa ca user nobody si teoretic poate citi toate fisierele celorlalti utilizatori (fisiere la care are acces serverul web).

corect, cu open_basedir am experimentat si eu o gramada de probleme, chiar daca este o solutie buna.

Pe mine ma deranjeaza sa dezactivez "exec" pt ca folosesc imagemagick din linia de comanda .. dar am impresia ca exista si un modul pt php.

mi se pare ok sa ramana toate functiile din php active, atat timp cat utilizatorul nu poate iesi din home-ul lui, iar atunci cand da sa zicem 'ps ax' prin intermediul unei functii care interactioneaza cu shellul, sa nu o faca cu privilegii de apache, si sa vada numai procesele pornite de el insusi.

un modul exista si el se numeste mod_suphp (www.suphp.org), dar eu nu m-as risca sa-l folosesc.

am testat servere virtuale care rulau plesk, si nu aveau aceleasi probleme ca cele care rulau cpanel.

[serban]

poate imi dai un exemplu concret de vulnerabilitate.

o sa postez cateva screenshoturi cu exploitul local modificat de mine, pentru serverele virtuale care ruleaza php si nu sunt configurate corect.
o sa incerc sa le fac pe categorii, adica atunci cand sunt deactivate functiile exec, popen, etc si cand este safe_mode, open_basedir ,etc.

serban

[dt]

am testat servere virtuale care rulau plesk, si nu aveau aceleasi probleme ca cele care rulau cpanel.

si atunci care e solutia lor?

Poate s-or trezi si programatorii de la CPanel .. ca in ultimul timp s-au adunat cam multe probleme..

[serban]

mod_become: http://www.snert.com/Software/mod_become/index.shtml
mod_suid: http://www.jdimedia.nl/igmar/mod_suid/
mod_diffprivs: http://ftw.zamosc.pl/~lw/mdp/index.html
mod_cgiwrap: http://people.masterwebnet.com/steven/mod_cgiwrap/mod_cgiwrap.html

-----------------------------
a incercat careva de pe forum solutiile de mai sus?
stiu ca nu este ok sa rulezi apache sau php sau alte binare cu permisii de root...

serban

[dt]

n-am testat, dar ar cam fi nevoie .. dintre toate, mod_suid 'arata' cel mai bine

Am mai gasit ceva .. poate putin mai vechi, un patch pt apache 1.3.20
http://luxik.cdi.cz/~devik/apache/
Testez si va spun.

[Cosmin L. Neagu]

(restul a fost mutat de moderator in sectiunea dedicata partenerilor - discutii tehnice si potentiale vulnerabilitati ce nu trebuie neaparat facute publice :)