Current time: 11-23-2024, 11:36 PM Hello There, Guest! (LoginRegister)


Post Reply 
Verständniss Frage zum Thema Security
Author Message
snoy_ms Offline
Junior Member
*

Posts: 18
Joined: Oct 2007
Reputation: 0
Post: #1
Verständniss Frage zum Thema Security
Halli hallo.

Teste gerade etwas mit meinem Apache herum, und da stellte ich mir die Frage (unabhängig von iscp):

Was ist eigendlich wenn eines meiner Foren angreifbar wäre, und jemand einen exploit oder Ähnliches ausführen könnte. Ok, der Angreifer erlangt im schlimmsten Fall Schreibrechte des Benutzers.

Von welchem Benutzer erlangt der Angreifer die Rechte? Unter Debian führt der Benutzer "www-data" die Skripte aus. Ich gehe mal davon aus das die Skripte dem Benutzer und der Gruppe "web123" gehören. "www-data" ist dort Mitglied.

Soweit ich das verstanden habe übernimmt er dann die Rechte von web123, oder vom kompletten www-data ??? Wer erlangt welche Rechte ??

Danke und Gruß,

snoy
(This post was last modified: 11-20-2007 03:37 AM by snoy_ms.)
11-20-2007 03:36 AM
Find all posts by this user Quote this message in a reply
ephigenie Offline
Project Leader
*******
Administrators

Posts: 1,578
Joined: Oct 2006
Reputation: 15
Post: #2
RE: Verständniss Frage zum Thema Security
Wenn du wie vorgesehen fastcgi benutzt, dann hat der Benutzer lediglich die Rechte von
dem vu2xxx User. Denn der führt auch die Skripte aus.
Dadurch ist auch ein übergreifen auf andere Domains mindestens deutlich eingedämmt.

Solltest du mod_php nutzen, gibts keine wirkliche Restriktionen mehr - zwar noch die OpenBasedir Restriktion - aber alle Skripte werden unter der uid von www-data ausgeführt.
11-20-2007 03:50 AM
Visit this user's website Find all posts by this user Quote this message in a reply
snoy_ms Offline
Junior Member
*

Posts: 18
Joined: Oct 2007
Reputation: 0
Post: #3
RE: Verständniss Frage zum Thema Security
Danke für deine schnelle Antwort!

Das bedeutet also:

fastcgi => recht sicher und bei Angriff nur die Daten des Betroffene Kunde (z.b. vu2xxx) gefährdet.

mod_php => Der Angreifer bekommt bei "Erfolg" Zugang zu allen Kunden Webseiten, und könnte diese löschen.

So korrekt ?
11-20-2007 04:36 AM
Find all posts by this user Quote this message in a reply
platzwart Offline
Junior Member
*

Posts: 100
Joined: Mar 2007
Reputation: 1
Post: #4
RE: Verständniss Frage zum Thema Security
so im prinzip ist das korrekt - jup.
11-20-2007 04:59 AM
Find all posts by this user Quote this message in a reply
snoy_ms Offline
Junior Member
*

Posts: 18
Joined: Oct 2007
Reputation: 0
Post: #5
RE: Verständniss Frage zum Thema Security
Vielen Dank für die Antworten ;-)
11-20-2007 05:03 AM
Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 2 Guest(s)