epgrecを安全に運用する

はじめに
侵入された場合の被害
対策
対策手順
参照元URL

はじめに †

epgrecはPT2などの地デジチューナーをブラウザから番組予約でき、日経Linuxでも紹介される程便利なツールです。
しかし、プライベートでの運用が前提であるためセキュリティについては不安な面もあります。
実際、epgrecをターゲットとした侵入方法が存在するようです。

↑

侵入された場合の被害 †

侵入者は、epgrec/thumbs配下に任意のコマンドを実行できるa.phpを仕掛けます。さらに、それを見えにくくするためか、...というディレクトリを作り、その配下に....phpを仕掛けます。
....php（a.phpも同じ）をブラウザで開くと、コマンド入力欄とExecuteボタンが表示されます。
コマンドの結果はExecuteの下に表示されるようです。
実行結果
上の結果からすると、どうやらapacheユーザーでコマンドが実行されるようです。
もし、apacheユーザーがアクセスできるファイルに重要なファイルが含まれていたら大変な事になります。
侵入者が作ったと思われるターゲットのIPアドレスやドメイン名がネットに公開されています。自分のドメイン名が載っていて恥ずかしい。。

↑

対策 †

侵入手順の詳細は不明ですが、epgrec内のphpファイルに何かしらのコマンドを挿入し、誤操作を起こしたのは間違いないと思います。
これを防ぐにはapacheの書き込み権限を無くすしか方法がありませんが、そうすると肝心の録画ファイルも生成されません。
つまり、epgrec本体に対策が施されない限り、epgrec配下を他人に見られないようにユーザー認証を行うしか方法はありません。
日経Linuxでも認証をかけるべき趣旨の記述がありました。

↑

対策手順 †

↑

パスワードファイルを生成する †

rootでhtpasswdを実行する。

# htpasswd -c /etc/httpd/conf/htpasswd roi
New password:
Re-type new password:

（htpasswdのパスはlinuxの種類によって異なる。）
上記コマンドでユーザー「roi」のパスワードが生成される。
（既存のhtpasswdファイルにユーザーを追加する場合は-cオプションはつけてはならない）

↑

Apacheの設定を変更する †

httpd.confを開き、epgrecに認証の設定を追記する

# vi /etc/httpd/conf/httpd.conf

追記内容

<Directory "/var/www/html/epgrec">
   AuthType Basic
   AuthName "Private"
   AuthUserFile /etc/httpd/conf/htpasswd
   Require valid-user
   --（既存の設定）--
</Directory>

↑

設定を反映する †

#service httpd reload

↑

参照元URL †

EPGrec　制作元ページ
http://privatepaste.com/82ed178c01　侵入者のメモ？

Menu

最新の20件