[Cascavel-pm] CGI + Password
|mouse|
mouse em oscara.com.br
Quarta Março 12 13:15:34 CST 2003
Trancuilo com as ratueiras por aqui...
,o)
Eu tinha colocado a senha no modulo que fica no dir CGI...
Vou criar um arquivo no /etc com a senha...
Falando nisso, onde devo colocar meu modulo? Deixo no mesmo dir que esta
os cgis?
]['s
|mouse|`perneta
Em Qua, 2003-03-12 às 16:02, Luis Campos de Carvalho escreveu:
> ----- Original Message -----
> From: "|mouse|" <mouse em oscara.com.br>
> Sent: Wednesday, March 12, 2003 3:46 PM
>
>
> > Ola pessoas,
>
> Oi, Mouse. =-]
>
> > fiz uns cgi's com acesso ao banco de dados e um modulo.
> > Qual a maneira mais segura de guardar a senha
> > do banco? Coloco nos cgi's mesmo?
> > Que permissão coloco nos cgi's?
>
> Os CGI's devem rodar com a permissão mais restritiva que você conseguir.
> Eu rodo CGI's com 0500 (-r-x------) e mantenho o ownership dos arquivos sob
> a responsabilidade do meu Apache (normalmente, o usuário www-data e grupo
> homônimo)
>
> Quanto às senhas do banco de dados, algumas considerações:
>
> A. Acesso ao banco de dados na sua máquina implica acesso no seu sistema.
> Se o acesso é ilegal, pode ficar muito ruim para o seu lado.
>
> B. Normalmente, webservers podem ser corrompidos para fornecer a um
> atacante o fonte de um script CGI. Isso quer dizer que tudo o que estiver no
> diretorio de CGI é publico, ou muito perto disso. Mantenha suas senhas de
> banco de dados longe dos diretórios publicados na web (inclusive os cgi-bin
> da vida...)
>
> C. Eu considero que um CGI que faz acesso inteligente a um banco de dados
> possui um conjunto de permissões minimo (o mais restritivo possivel). Assim,
> tenha (e man-tenha) um usuario do banco de dados separado apenas para o CGI
> acessar. É mais seguro e seu DBA / Sysadm vão poder dormir mais sossegados.
>
> D. Particularmente, eu considero que a senha de acesso a banco de dados
> que um CGI utiliza é configuração do sistema. Deve ser mantido no /etc/,
> preferencialmente somente para leitura, o mais restritivo possivel. Eu
> recomendo 0400 (-r--------), ou menos. =-]
>
> Espero que isso resolva seu problema.
> Boa sorte, e cuidado com as ratoeiras... (desculpe, eu não resisti...)
>
> []'z!
> --
> =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
> Luis Campos de Carvalho
> Computer Science Student
> OCP DBA Oracle & Unix Sys Admin
> =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
>
> _______________________________________________
> Cascavel-pm mailing list
> Cascavel-pm em mail.pm.org
> http://cascavel.pm.org/mailman/listinfo/cascavel-pm
--
|mouse|
Linux user #159540
UiN #36351944
WR 27
Eletronic mail mouse em 200.247.227.246
"Sem saber que era impossivel, ele fez."
www.oscara.com.br/mouse
www.joinvillepanzers.hpg.ig.com.br
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS/M d++ s-:- a-- C+++ UL+++ P+ L+++$
E-- W++ K- w O- M- PS+ PGP- tv- b++
G++ h-- r y+++
------END GEEK CODE BLOCK------
Mais detalhes sobre a lista de discussão Cascavel-pm