Sicherheit von mod_php

[Petra Sütterlin]

Hallo,

auf meinem managed-Server läuft php als cgi und ich würde es gerne als mod_php laufen lassen. Jedoch habe ich folgendes gefunden:

"http://kris.koehntopp.de/artikel/webtune/
Hat man seinen Webserver mit mod_php oder mod_perl konfiguriert, dann werden auch alle Dateizugriffe dieser beiden Module unter der einen zentralen Identität des Servers ausgeführt werden, da die Module im Kontext des Serverprozesses ablaufen. Das ist eine Tatsache, die man unbedingt im Hinterkopf behalten sollte, wenn man Webserver aufsetzt, auf denen mehrere unterschiedliche Kunden eigene Scripte ausführen können. Da alle diese Scripte immer unter derselben UID/GID ausgeführt werden, gibt es nichts, das verhindern könnte, daß ein Kunde auf die Dateien eines anderen Kunden zugreift. Ein solches Konzept ist für das Webhosting untauglich."

Verstehe ich das richtig?: ich installiere für einen Kunden ein cms, das plugins erlaubt. Der Kunde schreibt sich selber ein plugin und kann mit diesem auf Daten meiner eigenen Webseite zugreifen (meine Datenbank auslesen, files auslesen, löschen etc.)

Schöne Grüße
Petra

[xabbuh]

Zitat:

Zitat von Petra Sütterlin

Verstehe ich das richtig?: ich installiere für einen Kunden ein cms, das plugins erlaubt. Der Kunde schreibt sich selber ein plugin und kann mit diesem auf Daten meiner eigenen Webseite zugreifen (meine Datenbank auslesen, files auslesen, löschen etc.)

Generell ist das so richtig. Du solltest also zusehen, dass der Zugriff des Benutzers per PHP auf bestimmte Verzeichnisse beschränkt wird. Zusätzlich solltest du auch die Ausführung von Shellkommandos verhindern, in dem du die entsprechenden Funktionen über disable_functions deaktivierst.

[Petra Sütterlin]

Na das hört sich doch machbar an. Also wenn ich für jedes script mit open_basedir den Verzeichniszugriff beschränke, mit disable_functions die Ausführung von Shellkommandos verhindere, dann habe ich damit die Sicherheitslücken geschlossen und php als module laufen lassen!?

Ist das alles, was zu berücksichtigen ist, oder fehlt etwas?

[xabbuh]

Zusätzlich wichtig: Die Verzeichnisse zum Speichern von hochgeladenen Dateien (upload_tmp_dir) und der Sessiondatei (session.save_path) dürfen jeweils nur von einem Kunden beschrieben werden.
Ich hoffe, dass ich soweit nichts vergessen habe.

[Petra Sütterlin]

Zitat:

Zusätzlich wichtig: Die Verzeichnisse zum Speichern von hochgeladenen Dateien (upload_tmp_dir) und der Sessiondatei (session.save_path) dürfen jeweils nur von einem Kunden beschrieben werden.

Öhm- könntest du mir bitte wie bei deiner letzten Antwort Links mitschicken, bei denen ich nachlesen kann, wie ich das machen kann.

Oder wäre das hier richtig:
Für jedes script einzeln festlegen:

upload_tmp_dir = eigeneTmpDir
session.save_path = eigenerSavePath

und diese kann ich nach eigenem Belieben wählen!?

Zitat:

Ich hoffe, dass ich soweit nichts vergessen habe.

Ich auch!
Folgende Pfade/dirs habe ich noch gefunden: sind die auch festzulegen?
session.cookie_path
safe_mode_include_dir
safe_mode_exec_dir
doc_root
user_dir
extension_dir

Und was mir dabei gerade einfällt: wenn ich all dies machen kann, indem ich die php.ini-Einstellungen per .htaccess oder im php-script überschreibe, dann kann das doch jeder andere auch wieder überschreiben - oder?

[xabbuh]

Zitat:

Zitat von Petra Sütterlin

Öhm- könntest du mir bitte wie bei deiner letzten Antwort Links mitschicken, bei denen ich nachlesen kann, wie ich das machen kann.

Eine Liste der Konfigurationsvariablen findest du unter http://www.php.net/manual/en/ini.php. Dort ist auch beschrieben, in welchem Kontext diese Werte jeweils verändert werden dürfen.

Zitat:

Zitat von Petra Sütterlin

session.cookie_path
doc_root
user_dir
extension_dir

Musst du überlicherweise nicht verändern.

Zitat:

Zitat von Petra Sütterlin

safe_mode_include_dir
safe_mode_exec_dir

Diese beiden Einstellungen sind sinnvoll, wenn du den Safe Mode verwenden möchtest. Dazu kannst du dann den Benutzer unter dem der Webserver sowie der FTP-Zugang laufen in die gleiche Gruppe packen und safe_mode_gid setzen.

Zitat:

Zitat von Petra Sütterlin

wenn ich all dies machen kann, indem ich die php.ini-Einstellungen per .htaccess oder im php-script überschreibe, dann kann das doch jeder andere auch wieder überschreiben - oder?

Ob und wenn ja in welchem Maße ein Benutzer per .htaccess-Datei Einstellungen verändern kann, hängt von der Direktive selbst ab. Einen Überblick bietet dir die am Anfang dieses Beitrages von mir verlinkte Seite.

[Petra Sütterlin]

Fein, das hilft mir schon mal viel weiter :))

Zitat:

Ob und wenn ja in welchem Maße ein Benutzer per .htaccess-Datei Einstellungen verändern kann, hängt von der Direktive selbst ab. Einen Überblick bietet dir die am Anfang dieses Beitrages von mir verlinkte Seite.

Da steht:
disable_functions php.ini only
open_basedir PHP_INI_SYSTEM
d.h. ich kann das ganze vergessen (was meint: wenn php als mod_php läuft, kann ich nicht verhindern, daß ein anderer meine Datenbank ausliest), weil ich (bei meinem ManagedServer) nur über die .htaccess oder eine php-datei die php.ini-Einstellungen verändern kann - richtig?

Ich kann ja selbst nur über .htaccess oder php-datei die ini-Einstellungen verändern und wenn ich das kann, kann das ja jeder andere, der auf ein Verzeichnis zugreifen kann auch...

[xabbuh]

Zitat:

Zitat von Petra Sütterlin

Ich kann ja selbst nur über .htaccess oder php-datei die ini-Einstellungen verändern und wenn ich das kann, kann das ja jeder andere, der auf ein Verzeichnis zugreifen kann auch...

Wenn du selbst gar keinen Zugriff auf die generelle Konfiguration des Webservers hast, wäre es auch Wahnsinn, Webspace weiter zu verkaufen. Oder was genau hast du vor?

[Petra Sütterlin]

Hallo xabbuh,

sorry, daß ich nicht mehr geantwortet habe- ich habe keine Benachrichtigungsmail bekommen (oder diese übersehen) und gedacht, daß der thread jetzt zu Ende ist. (als ich wieder mal gegoogelt habe, habe ich deine Antwort entdeckt)

Zitat:

Zitat von xabbuh

Wenn du selbst gar keinen Zugriff auf die generelle Konfiguration des Webservers hast, wäre es auch Wahnsinn, Webspace weiter zu verkaufen.

So schätze ich das mittlerweile auch ein - das Thema wird erst wieder relevant, wenn ich einen root-Server habe.

Danke vielmals - ich habe über diesen thread viel gelernt.

Petra