Current time: 11-28-2024, 01:19 AM Hello There, Guest! (LoginRegister)


Post Reply 
PHP-Security, geänderte php.ini
Author Message
jmeyerdo Offline
Junior Member
*

Posts: 173
Joined: Oct 2007
Reputation: 2
Post: #1
PHP-Security, geänderte php.ini
Hallo!

Nachdem bei mir "fastcgi" nun endlich läuft Smile, habe ich weitere Sicherheits-Tests durchgefürt.
Dabei ist mir aufgefallen (beim Testen mit "phpshell" - http://mgeisler.net/php-shell/), dass die Kommandos proc_open() und popen() nicht in der php.ini deaktiviert wurden.

Das Problem sehe ich darin, dass diese Funktionen scheinbar gesetzte "open_basedir"-Restriktionen ignorieren:
http://www.heise.de/newsticker/meldung/73837

Gibt es einen Grund dafür, dass diese nicht deaktiviert werden?
Falls nicht, würde ich vorschlagen, die unbedingt mit zu "disablen".

Eine zweite Frage:
FastCGI bietet ja das geniale Feature, für jeden User eine eigene php.ini verwenden zu können. So wäre ja theoretisch manuelles Finetuning für einzelne User möglich.
Allerdings ist mir aufgefallen, dass die User-php.ini bei jedem Update der Domain überschrieben wird. Ist das notwendig? Was für Einträge werden da ggf. bei einem Update generiert, die ein erneutes Kopieren notwendig machen?

Ansonsten würde ich vorschlagen, das Kopieren bei Updates zu unterlassen, damit manuelle Änderungen nicht verloren gehen.
Oder gibt es da sonst einen Workaround für dauerhafte, eigene Einträge?

Viele Grüße, Jens
10-29-2007 07:50 PM
Find all posts by this user Quote this message in a reply
RatS Offline
Project Leader
******

Posts: 1,854
Joined: Oct 2006
Reputation: 17
Post: #2
RE: PHP-Security, geänderte php.ini
proc_open sollte nur im Master aktiv sein. Müsste aber nachsehen.

Um Änderungen einzupflegen könntest du Includes verwenden. Muss dann nur einmal das Template anpassen.
10-29-2007 08:52 PM
Visit this user's website Find all posts by this user Quote this message in a reply
jmeyerdo Offline
Junior Member
*

Posts: 173
Joined: Oct 2007
Reputation: 2
Post: #3
RE: PHP-Security, geänderte php.ini
Hi!
Danke für die schnelle Antwort...

Bei mir war das auch für den User freigeschaltet (aktueller Trunk von vor einigen Tagen).

Eine weitere php.ini inkludieren? An welcher Stelle wäre das möglich/sinnvoll?
Ist denn ein Überschreiben der php.ini bei jedem Update wirklich technisch notwendig?

Viele Grüße, Jens
(This post was last modified: 10-29-2007 08:57 PM by jmeyerdo.)
10-29-2007 08:57 PM
Find all posts by this user Quote this message in a reply
Zothos Offline
Release Manager
*****
Dev Team

Posts: 1,262
Joined: Feb 2007
Reputation: 10
Post: #4
RE: PHP-Security, geänderte php.ini
Wenn die funktionen nicht nur für den Master aktiviert sind, sondern auch für jeden normalen user, würde ich mal sagen das ist ein ticket wert.
Machst du eines auf jmeyerdo?
10-29-2007 11:22 PM
Find all posts by this user Quote this message in a reply
jmeyerdo Offline
Junior Member
*

Posts: 173
Joined: Oct 2007
Reputation: 2
Post: #5
RE: PHP-Security, geänderte php.ini
Ok, Ticket ist geöffnet.

Kann jemand überblicken, ob es technisch wirklich notwendig ist, die php.ini jedes Mal zu überschreiben?
Falls nicht, würde ich auch dafür ein Ticket öffnen.

VG, Jens
10-29-2007 11:30 PM
Find all posts by this user Quote this message in a reply
monotek Offline
Junior Member
*

Posts: 65
Joined: Dec 2006
Reputation: 0
Post: #6
RE: PHP-Security, geänderte php.ini
Imho ja, denn es wäre doch viel zu umständlich erst jede Datei auf manuelle Änderungen zu durchsuchen.

Wegen der Includes...
Ist das so wie bei Confiixx damals über die "HTTP Spezial" Einträge des Users möglich, die nur der Admin einstellen kann?
Wenn nicht, wäre das Imho noch ein nettes Feature für die Zukunft.
10-30-2007 12:33 AM
Find all posts by this user Quote this message in a reply
jmeyerdo Offline
Junior Member
*

Posts: 173
Joined: Oct 2007
Reputation: 2
Post: #7
RE: PHP-Security, geänderte php.ini
Hi!

Es ist klar, dass der vhost-Eintrag neu geschrieben werden muss. Im Moment sehe ich aber nicht, dass irgendwelche Änderungen einer Domain Auswirkungen auf die php.ini-Datei haben. Ist das richtig?
In diesem Fall wäre durch simples Verhindern des Überschreibens das Feature "angepasste php.ini möglich" drin...

VG, Jens
10-30-2007 12:40 AM
Find all posts by this user Quote this message in a reply
RatS Offline
Project Leader
******

Posts: 1,854
Joined: Oct 2006
Reputation: 17
Post: #8
RE: PHP-Security, geänderte php.ini
HTTP-Spezial ist nichts anderes, als php_admin_values, aber die funktionieren nur mit mod_php.
(This post was last modified: 10-30-2007 03:49 AM by RatS.)
10-30-2007 01:24 AM
Visit this user's website Find all posts by this user Quote this message in a reply
jmeyerdo Offline
Junior Member
*

Posts: 173
Joined: Oct 2007
Reputation: 2
Post: #9
RE: PHP-Security, geänderte php.ini
Hi RatS!

Ja richtig - und diese werden nicht in der php.ini, sondern in der .conf für die VHosts gesetzt.

Du bist doch einer der Profis, die mir meine Frage beantworten können, oder? Wink Werden tatsächlich bei einem Domainupdate Änderungen in der php.ini notwendig?

VG, Jens
10-30-2007 01:34 AM
Find all posts by this user Quote this message in a reply
Zothos Offline
Release Manager
*****
Dev Team

Posts: 1,262
Joined: Feb 2007
Reputation: 10
Post: #10
RE: PHP-Security, geänderte php.ini
OT: Man könnte auch mod_security verwenden und auf vhost basis das php befehle deaktivieren.
10-30-2007 03:14 AM
Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 3 Guest(s)