CronJob-Service
bei SELFPHP mit ...
|
+ minütlichen Aufrufen
+ eigenem Crontab Eintrag
+ unbegrenzten CronJobs
+ Statistiken
+ Beispielaufrufen
+ Control-Bereich
Führen Sie mit den CronJobs von
SELFPHP zeitgesteuert Programme
auf Ihrem Server
aus. Weitere Infos
|
:: Anbieterverzeichnis ::
Globale Branchen
Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP
:: Newsletter ::
Abonnieren Sie hier den kostenlosen
SELFPHP Newsletter!
|
Apache HTTP-Server Alles was Ihr über den Apache diskutieren möchtet, gehört hierein |
10.07.2006, 17:05:57
|
Anfänger
|
|
Registriert seit: Jul 2006
Beiträge: 9
|
|
Sicherheit von mod_php
Hallo,
auf meinem managed-Server läuft php als cgi und ich würde es gerne als mod_php laufen lassen. Jedoch habe ich folgendes gefunden:
"http://kris.koehntopp.de/artikel/webtune/
Hat man seinen Webserver mit mod_php oder mod_perl konfiguriert, dann werden auch alle Dateizugriffe dieser beiden Module unter der einen zentralen Identität des Servers ausgeführt werden, da die Module im Kontext des Serverprozesses ablaufen. Das ist eine Tatsache, die man unbedingt im Hinterkopf behalten sollte, wenn man Webserver aufsetzt, auf denen mehrere unterschiedliche Kunden eigene Scripte ausführen können. Da alle diese Scripte immer unter derselben UID/GID ausgeführt werden, gibt es nichts, das verhindern könnte, daß ein Kunde auf die Dateien eines anderen Kunden zugreift. Ein solches Konzept ist für das Webhosting untauglich."
Verstehe ich das richtig?: ich installiere für einen Kunden ein cms, das plugins erlaubt. Der Kunde schreibt sich selber ein plugin und kann mit diesem auf Daten meiner eigenen Webseite zugreifen (meine Datenbank auslesen, files auslesen, löschen etc.)
Schöne Grüße
Petra
|
10.07.2006, 19:27:46
|
|
SELFPHP Guru
|
|
Registriert seit: May 2003
Beiträge: 7.187
|
|
AW: Sicherheit von mod_php
Zitat:
Zitat von Petra Sütterlin
Verstehe ich das richtig?: ich installiere für einen Kunden ein cms, das plugins erlaubt. Der Kunde schreibt sich selber ein plugin und kann mit diesem auf Daten meiner eigenen Webseite zugreifen (meine Datenbank auslesen, files auslesen, löschen etc.)
|
Generell ist das so richtig. Du solltest also zusehen, dass der Zugriff des Benutzers per PHP auf bestimmte Verzeichnisse beschränkt wird. Zusätzlich solltest du auch die Ausführung von Shellkommandos verhindern, in dem du die entsprechenden Funktionen über disable_functions deaktivierst.
|
10.07.2006, 21:51:14
|
Anfänger
|
|
Registriert seit: Jul 2006
Beiträge: 9
|
|
AW: Sicherheit von mod_php
Na das hört sich doch machbar an. Also wenn ich für jedes script mit open_basedir den Verzeichniszugriff beschränke, mit disable_functions die Ausführung von Shellkommandos verhindere, dann habe ich damit die Sicherheitslücken geschlossen und php als module laufen lassen!?
Ist das alles, was zu berücksichtigen ist, oder fehlt etwas?
|
10.07.2006, 21:53:27
|
|
SELFPHP Guru
|
|
Registriert seit: May 2003
Beiträge: 7.187
|
|
AW: Sicherheit von mod_php
Zusätzlich wichtig: Die Verzeichnisse zum Speichern von hochgeladenen Dateien (upload_tmp_dir) und der Sessiondatei (session.save_path) dürfen jeweils nur von einem Kunden beschrieben werden.
Ich hoffe, dass ich soweit nichts vergessen habe.
|
10.07.2006, 23:26:11
|
Anfänger
|
|
Registriert seit: Jul 2006
Beiträge: 9
|
|
AW: Sicherheit von mod_php
Zitat:
Zusätzlich wichtig: Die Verzeichnisse zum Speichern von hochgeladenen Dateien (upload_tmp_dir) und der Sessiondatei (session.save_path) dürfen jeweils nur von einem Kunden beschrieben werden.
|
Öhm- könntest du mir bitte wie bei deiner letzten Antwort Links mitschicken, bei denen ich nachlesen kann, wie ich das machen kann.
Oder wäre das hier richtig:
Für jedes script einzeln festlegen:
upload_tmp_dir = eigeneTmpDir
session.save_path = eigenerSavePath
und diese kann ich nach eigenem Belieben wählen!?
Zitat:
Ich hoffe, dass ich soweit nichts vergessen habe.
|
Ich auch!
Folgende Pfade/dirs habe ich noch gefunden: sind die auch festzulegen?
session.cookie_path
safe_mode_include_dir
safe_mode_exec_dir
doc_root
user_dir
extension_dir
Und was mir dabei gerade einfällt: wenn ich all dies machen kann, indem ich die php.ini-Einstellungen per .htaccess oder im php-script überschreibe, dann kann das doch jeder andere auch wieder überschreiben - oder?
|
11.07.2006, 08:32:48
|
|
SELFPHP Guru
|
|
Registriert seit: May 2003
Beiträge: 7.187
|
|
AW: Sicherheit von mod_php
Zitat:
Zitat von Petra Sütterlin
Öhm- könntest du mir bitte wie bei deiner letzten Antwort Links mitschicken, bei denen ich nachlesen kann, wie ich das machen kann.
|
Eine Liste der Konfigurationsvariablen findest du unter http://www.php.net/manual/en/ini.php. Dort ist auch beschrieben, in welchem Kontext diese Werte jeweils verändert werden dürfen.
Zitat:
Zitat von Petra Sütterlin
session.cookie_path
doc_root
user_dir
extension_dir
|
Musst du überlicherweise nicht verändern.
Zitat:
Zitat von Petra Sütterlin
safe_mode_include_dir
safe_mode_exec_dir
|
Diese beiden Einstellungen sind sinnvoll, wenn du den Safe Mode verwenden möchtest. Dazu kannst du dann den Benutzer unter dem der Webserver sowie der FTP-Zugang laufen in die gleiche Gruppe packen und safe_mode_gid setzen.
Zitat:
Zitat von Petra Sütterlin
wenn ich all dies machen kann, indem ich die php.ini-Einstellungen per .htaccess oder im php-script überschreibe, dann kann das doch jeder andere auch wieder überschreiben - oder?
|
Ob und wenn ja in welchem Maße ein Benutzer per .htaccess-Datei Einstellungen verändern kann, hängt von der Direktive selbst ab. Einen Überblick bietet dir die am Anfang dieses Beitrages von mir verlinkte Seite.
|
11.07.2006, 15:39:55
|
Anfänger
|
|
Registriert seit: Jul 2006
Beiträge: 9
|
|
AW: Sicherheit von mod_php
Fein, das hilft mir schon mal viel weiter :))
Zitat:
Ob und wenn ja in welchem Maße ein Benutzer per .htaccess-Datei Einstellungen verändern kann, hängt von der Direktive selbst ab. Einen Überblick bietet dir die am Anfang dieses Beitrages von mir verlinkte Seite.
|
Da steht:
disable_functions php.ini only
open_basedir PHP_INI_SYSTEM
d.h. ich kann das ganze vergessen (was meint: wenn php als mod_php läuft, kann ich nicht verhindern, daß ein anderer meine Datenbank ausliest), weil ich (bei meinem ManagedServer) nur über die .htaccess oder eine php-datei die php.ini-Einstellungen verändern kann - richtig?
Ich kann ja selbst nur über .htaccess oder php-datei die ini-Einstellungen verändern und wenn ich das kann, kann das ja jeder andere, der auf ein Verzeichnis zugreifen kann auch...
|
11.07.2006, 17:20:08
|
|
SELFPHP Guru
|
|
Registriert seit: May 2003
Beiträge: 7.187
|
|
AW: Sicherheit von mod_php
Zitat:
Zitat von Petra Sütterlin
Ich kann ja selbst nur über .htaccess oder php-datei die ini-Einstellungen verändern und wenn ich das kann, kann das ja jeder andere, der auf ein Verzeichnis zugreifen kann auch...
|
Wenn du selbst gar keinen Zugriff auf die generelle Konfiguration des Webservers hast, wäre es auch Wahnsinn, Webspace weiter zu verkaufen. Oder was genau hast du vor?
|
10.09.2006, 20:21:51
|
Anfänger
|
|
Registriert seit: Jul 2006
Beiträge: 9
|
|
AW: Sicherheit von mod_php
Hallo xabbuh,
sorry, daß ich nicht mehr geantwortet habe- ich habe keine Benachrichtigungsmail bekommen (oder diese übersehen) und gedacht, daß der thread jetzt zu Ende ist. (als ich wieder mal gegoogelt habe, habe ich deine Antwort entdeckt)
Zitat:
Zitat von xabbuh
Wenn du selbst gar keinen Zugriff auf die generelle Konfiguration des Webservers hast, wäre es auch Wahnsinn, Webspace weiter zu verkaufen.
|
So schätze ich das mittlerweile auch ein - das Thema wird erst wieder relevant, wenn ich einen root-Server habe.
Danke vielmals - ich habe über diesen thread viel gelernt.
Petra
|
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
|
|
Forumregeln
|
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
HTML-Code ist aus.
|
|
|
Alle Zeitangaben in WEZ +2. Es ist jetzt 19:31:17 Uhr.
|