Current time: 11-23-2024, 02:39 PM Hello There, Guest! (LoginRegister)


Thread Closed 
 
Thread Rating:
  • 0 Votes - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
[ERLEDIGT] Sicherheitsfrage
Author Message
Kilrathy Offline
Junior Member
*

Posts: 54
Joined: Jan 2008
Reputation: 0
Post: #1
Question [ERLEDIGT] Sicherheitsfrage
Hallo zusammen

Ich verfolge dieses Projekt schon länger und habe die RCs schon getestet und bin bis jetzt sehr positiv beeindruckt.

Gestern ist mir jedoch durch ein schlecht programmiertes Gästebuch eine entscheidende Frage gekommen. Es geht darum, dass es mittels einem Fehler im GB jemandem möglich ist über die ganze Filestruktur zu gehen und ggf. Files auszulesen - ich habe es getestet und konnte somit meine /etc/passwd ausgeben lassen.

Meine Frage jetzt, ist diese Art von Fehler im ispCP möglich oder arbeiten alle einzelnen Websites in einer eigenen "chroot" Umgebung oder sowas?
Weil mir selber ist nicht bekannt, dass man dem Apache sagen darf "du darfst nicht aus /var/www gehen" oder bin ich einfach zu blöd? Big Grin

Habs leider bis jetzt halt nicht testen können im ispCP, darum frag ich. Wink

Greetz
Kilrathy
(This post was last modified: 01-31-2008 04:50 PM by BeNe.)
01-25-2008 07:17 PM
Find all posts by this user
jmeyerdo Offline
Junior Member
*

Posts: 173
Joined: Oct 2007
Reputation: 2
Post: #2
RE: Sicherheitsfrage
Hallo!

Ja, das ist auf jeden Fall möglich.

Wenn bei "ispCP" die fastcgi-Konfiguration genutzt wird, gibt es pro Webuser/Webspace eine eigene php.ini.
Und dort ist mit "open_basedir" ausgeschlossen, dass der Webuser aus dem eigenen Verzeichnis herauskommt.

Viele Grüße, Jens
01-25-2008 07:19 PM
Find all posts by this user
Kilrathy Offline
Junior Member
*

Posts: 54
Joined: Jan 2008
Reputation: 0
Post: #3
RE: Sicherheitsfrage
Ah, gut zu wissen!

Danke für die Info... mal sehen ob ich das auch bei meiner aktuellen Webserver Geschichte so machen kann.

Greetz
01-25-2008 07:39 PM
Find all posts by this user
jmeyerdo Offline
Junior Member
*

Posts: 173
Joined: Oct 2007
Reputation: 2
Post: #4
RE: Sicherheitsfrage
Kilrathy Wrote:Danke für die Info... mal sehen ob ich das auch bei meiner aktuellen Webserver Geschichte so machen kann.

Wenn Du manuell konfigurierst, kannst Du die open_basedir-Restriktion auch in den VHOST (ohne fastcgi) legen:
Code:
php_admin_value open_basedir /home/www/dir1:/home/www/dir2:/home/www/dir3
Falls das so nicht geht, müsste ggf. mit gleichem Verfahren der Safe-Mode aktiviert werden.

Viele Grüße, Jens
01-25-2008 07:45 PM
Find all posts by this user
rbtux Offline
Moderator
*****
Moderators

Posts: 1,847
Joined: Feb 2007
Reputation: 33
Post: #5
RE: Sicherheitsfrage
safe_mode ist eine krücke die mit php6 abgeschafft wird. Daher würde ich für neue Server auf dies verzichten...
01-25-2008 08:54 PM
Visit this user's website Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #6
RE: Sicherheitsfrage
Ich würde es auch so zusammenfassen:
- safe_mode nicht benutzen
- open_basedir entweder mit fast_cgi (eigene php.ini) oder in der apache-config (bei mod_php) korrekt setzen.
- In der ispcp Grundeinstellung sind ausserdem auch einige Funktionen deaktiviert, für gewisse Applikationen müsste man diese aktivieren

- Regeln aufsetzen, nach denen du fehlerhafte Skripte ungefragt löschen darfst.... :-)

Gruss J
(This post was last modified: 01-26-2008 01:00 AM by joximu.)
01-26-2008 12:59 AM
Visit this user's website Find all posts by this user
Kilrathy Offline
Junior Member
*

Posts: 54
Joined: Jan 2008
Reputation: 0
Post: #7
RE: Sicherheitsfrage
joximu Wrote:- open_basedir entweder mit fast_cgi (eigene php.ini) oder in der apache-config (bei mod_php) korrekt setzen.
- Regeln aufsetzen, nach denen du fehlerhafte Skripte ungefragt löschen darfst.... :-)

Sind die open_basedir Einstellungen bei ispCP schon gesetzt oder müsste ich das noch nachholen? (Habe ich noch nicht produktiv im Einsatz)

Aber den Punkt mit der Regel gefällt mir und hatte ich nie im Kopf, werde ich aber auf jedenfall bei steuern :-)

Greetz
01-27-2008 07:55 PM
Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #8
RE: Sicherheitsfrage
Ja, open_basedir wird gesetzt:
http://www.isp-control.net/ispcp/browser...p.ini#L217
für den master-vhost beim ispcp-setup, für die anderen beim Einrichten der Domain...

(es gilt ein Verzeichnis pro Domainkunde - also dasselbe auch für dessen Domain-Aliase und Subdomains)

jaja, die Regeln...
Sind schwierig zu programmieren - aber für irgendwas darf der Mensch auch noch nützlich sein... ;-)

Gruss Joximu
01-27-2008 09:23 PM
Visit this user's website Find all posts by this user
Kilrathy Offline
Junior Member
*

Posts: 54
Joined: Jan 2008
Reputation: 0
Post: #9
RE: Sicherheitsfrage
Endlich kann ich wieder Antworte, scheiss Stress Big Grin

Saubere Sache, muss ich ein bisschen weniger Angst haben vor Scriptkiddies. Wink

Auch wieder wahr, auch wenn Regeln unschön sind, für die meisten... muss halt sein.

Gruss von nach Basel Cool
01-30-2008 03:46 AM
Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #10
RE: Sicherheitsfrage
Kilrathy Wrote:Gruss von nach Basel Cool

jo waaas - en Basler :-)
01-30-2008 05:35 AM
Visit this user's website Find all posts by this user
Thread Closed 


Forum Jump:


User(s) browsing this thread: 1 Guest(s)