 実行できるCGIの制限強化
|
| |
お客様のCGIプログラム実行時に以下のチェックを行います。
(チェック内容)
CGIが設置されたディレクトリについて、オーナー(=そのホームページの開設者)以外へ
書き込みを許す設定になっていないかどうかをチェックし、
オーナー以外に書き込みを許す設定の場合、そのCGIを実行せず、エラーとします。
|
このチェックを行うことで、お客様のCGIプログラムが改竄され、
それを知らずに実行して、動作不正やサーバ全体への悪影響をおよぼす、といった
ことが起きる可能性を、より少なくすることができます。
ホームページサーバでは、CGIプログラムはオーナー権限で動作するので、
CGIプログラムから、掲示板の記事やログなどをファイルに書き込む場合でも、
groupやotherの書き込み権は不要です。
パーミッションが777で動作しているCGIを、755に変更しても同様に起動されます。
|
|
|
【詳細】
|
|
| |
CGIファイル(ファイル名.cgi)が置かれているディレクトリのパーミッション(モード)が
groupやotherに書き込みを許す設定になっている場合、
CGIは実行できず、起動された場合、エラーとなります。
「705(rwx---r-x)」または「755(rwxr-xr-x)」といった、groupやotherに書き込みを許さないモードを指定してください。
CGIやディレクトリについては、
各サーバの基本的な仕様もご確認ください。
|
|
|
|
【確認方法】
|
|
| |
CGIファイル(ファイル名.cgi)が置かれたディレクトリのパーミッションを
ご利用のFTPソフト等でご確認ください。
例)cgi-binというディレクトリにCGIファイルを置いていた場合、
drwx---r-x 〜 cgi-bin
または
drwxr-xr-x 〜 cgi-bin
のような設定になっていれば、cgiを実行できます。
|
|
|
|
【対処方法】
|
|
| |
ご利用のFTPソフト等で、パーミッションの変更を行ってください。
(「chmod」「モード変更」といったオプションとして提供されているようです。)
なお、このパーミッションチェックを始めるにあたり、対象のサーバについて、
BIGLOBE側で一度、お客様のディレクトリを参照し、以下のようなパーミッションの変更を行います。
(変更内容)
| 変更対象 |
CGIファイルを設置したディレクトリで、パーミッション指定が「drwxrwxrwx(777)」「drwx---rwx(775)」といった、他からの書き込みを許す指定となっているディレクトリ |
| 変更内容 |
ディレクトリのパーミッションを、他からの書き込みを許さない「drwxr-xr-x(755)」に変更します |
| 確認方法 |
パーミッションの確認が可能なFTPソフト等をご利用ください |
|
|
|
|
【実施状況】
|
|
| |
個人ホームページ 全サーバについて実施済み
|
|
|
|
|
CGIが利用できるリソースの制限
|
|
|
実行中のcgiが一定以上のリソースを使用しようとすると、そのcgiの実行を強制的に終了します。
→ 詳細
|
|
|
|
【背景・目的】
|
|
| |
サーバのリソースを大量に消費する(暴走等)cgiが起動されると
サーバのリソースが占有されてしまい、同じサーバの他のcgiの実行やホームページ参照を妨げ
大きな影響をおよぼす場合があります。
この問題を回避する方法の一つとして、
一回のcgi実行で利用できるリソースに制限を設けることに致しました。
|
|
|
|
【確認方法】
|
|
| |
リソース制限によりcgiが終了した場合、
お客さまのホームページの public_html ディレクトリ直下のファイル errors.txt に
メッセージを出力することができます。
(cgiのプログラム内容等によっては出力されない場合もあります)
→ 確認方法・対処方法詳細
|
|
|
|
【実施状況】
|
|
| |
個人ホームページ 全サーバについて実施済み
|
|
|
|
|
他サーバへの通信の制限
|
|
|
ホームページの各サーバから、cgiによる他のサーバ等への通信(例:Socketを利用した通信など)はご利用いただけません。
|
|
|
|
【背景・目的】
|
|
| |
ホームページサーバが、他のサーバや、他のサイトへの不正なアクセス(アタック等)に利用されることを防止するために制限いたします。
|
|
|
|
【実施状況】
|
|
| |
個人ホームページ 全サーバについて実施済み
|
|
