[akzepziert] Frage zu exec() - Printable Version

[akzepziert] Frage zu exec() - Printable Version

+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+---- Forum: Archiv (/forum-54.html)
+---- Thread: [akzepziert] Frage zu exec() (/thread-8375.html)

[akzepziert] Frage zu exec() - fulltilt - 11-09-2009 10:38 PM

ich habe per default die exec() Funktion in php disabled ...
Ein Kunde nervt mich damit ständig und möcht dies in seiner php.ini disabled haben ...
Wirkt sich dies nur auf sein Web aus oder bestehen durch exec() ON weitere Sicherheitsrisiken die über sein Web hinausgehen können?

RE: Frage zu exec() - ephigenie - 11-09-2009 10:56 PM

er kann damit beliebige Kommandos als sein Vu user ausführen.

Wenn du also nicht sicher bist, das der User nicht irgendwelchen Mist machen kann bzw. dein Webserver 100% sicher ist (welcher ist das schon) dann lass es halt enabled.

Andrerseits empfehle ich dringend es abzuschalten.

RE: Frage zu exec() - fulltilt - 11-09-2009 11:02 PM

Danke Dir - das sehe ich genau so.
Der Kunde behauptet das es sich nur auf sein Web auswirken kann und er die Verantwortung dafür hat ...

(11-09-2009 10:56 PM)ephigenie Wrote: Wenn du also nicht sicher bist, das der User nicht irgendwelchen Mist machen kann bzw. dein Webserver 100% sicher ist (welcher ist das schon) dann lass es halt enabled.

RE: Frage zu exec() - gOOvER - 11-09-2009 11:15 PM

Frag ihn doch mal, für was oder welches Script er es braucht. Es gibt ein paar Scripts, die laufen nicht ohne exec.

RE: Frage zu exec() - joximu - 11-09-2009 11:16 PM

Ich sehe das lockerer - man kann garantiert irgendwie anders noch eine Möglichkeit finden, auf dem Server beliebige Programme auszuführen. Insofern ist es nur eine kleine Hürde, falls der Kunde tatsächlich was böses im Sinn hat.
auf der anderen Seite muss man exec erlauben, um zB. in TYPO3 alle grafischen Möglichkeiten zu benutzen...

Wichtig dürfte sein, abzusichern, dass der User vu20xx:vu20xx keinen grossen Schaden anrichten kann.

/J

RE: Frage zu exec() - fulltilt - 11-09-2009 11:25 PM

er will ein Zencart Modul für backups installieren, hab ihm auch schon einen sql dump als Cron eingerichtet ... er möchte aber unbedingt diese Funktion in seinem backend haben.
Ich denke das unter Umständen bei exec() OFF eventl. auch Dateien über seinen zencart /tmp Folder von einem Angreifer ausgeführt können ...

RE: Frage zu exec() - ephigenie - 11-10-2009 02:33 AM

dann lass ihn halt das Ganze noch in ein extra protected area packen.

Solange du deinen Server ordentlich wartest - und diesbezüglich deine Hausaufgaben gemacht hast, ist es schon eher im Rahmen des theorethischen, das ein Angreifer rausfindet, dass ausgerechnet der User Exec() darf + er dadurch noch an eine Lücke in deinem System kommt . Bissl Paranoid ist da schon auch dabei Wink

RE: Frage zu exec() - fulltilt - 11-10-2009 02:43 AM

jaaa - dann lasse den User seine Backups machen Cool

(11-10-2009 02:33 AM)ephigenie Wrote: Bissl Paranoid ist da schon auch dabei

RE: [akzepziert] Frage zu exec() - joximu - 11-10-2009 02:52 AM

akzeptiert = schliessen...