Verständniss Frage zum Thema Security

[snoy_ms]

Halli hallo.

Teste gerade etwas mit meinem Apache herum, und da stellte ich mir die Frage (unabhängig von iscp):

Was ist eigendlich wenn eines meiner Foren angreifbar wäre, und jemand einen exploit oder Ähnliches ausführen könnte. Ok, der Angreifer erlangt im schlimmsten Fall Schreibrechte des Benutzers.

Von welchem Benutzer erlangt der Angreifer die Rechte? Unter Debian führt der Benutzer "www-data" die Skripte aus. Ich gehe mal davon aus das die Skripte dem Benutzer und der Gruppe "web123" gehören. "www-data" ist dort Mitglied.

Soweit ich das verstanden habe übernimmt er dann die Rechte von web123, oder vom kompletten www-data ??? Wer erlangt welche Rechte ??

Danke und Gruß,

snoy

[ephigenie]

Wenn du wie vorgesehen fastcgi benutzt, dann hat der Benutzer lediglich die Rechte von
dem vu2xxx User. Denn der führt auch die Skripte aus.
Dadurch ist auch ein übergreifen auf andere Domains mindestens deutlich eingedämmt.

Solltest du mod_php nutzen, gibts keine wirkliche Restriktionen mehr - zwar noch die OpenBasedir Restriktion - aber alle Skripte werden unter der uid von www-data ausgeführt.

[snoy_ms]

Danke für deine schnelle Antwort!

Das bedeutet also:

fastcgi => recht sicher und bei Angriff nur die Daten des Betroffene Kunde (z.b. vu2xxx) gefährdet.

mod_php => Der Angreifer bekommt bei "Erfolg" Zugang zu allen Kunden Webseiten, und könnte diese löschen.

So korrekt ?

[platzwart]

so im prinzip ist das korrekt - jup.

[snoy_ms]

Vielen Dank für die Antworten ;-)