Re: Frage zu Sicherheit public_html und php

To: debian-user-german@lists.debian.org
Subject: Re: Frage zu Sicherheit public_html und php
From: Michael Hilscher <macvampi@michael-hilscher.de>
Date: Mon, 28 Apr 2003 22:52:19 +0200
Message-id: <[🔎] 20030428225219.A4531@linbook>
In-reply-to: <[🔎] 20030428201438.GA4288@cargal.org>
References: <[🔎] 20030422224900.GC918@cargal.org> <[🔎] 20030423093509.A23352@linbook> <[🔎] 20030428201438.GA4288@cargal.org>

On Mon, Apr 28, 2003 at 10:14:38PM +0200, Stephan Dietl wrote:
> Michael Hilscher <macvampi@michael-hilscher.de> schrieb:
> > Aktiviere den safe_mode und setze die Variable open_basedir. Dann hast
> > Du den Nutzer in sein open_basedir eingesperrt und system sowie exec
> > Befehle sind nicht mehr möglich. 
> 
> Safe_mode kann ich wegen diverser Apps nicht allgemein aktivieren, wenn
> ich open_basedir auf . setze gehen die PHP-Sachen immer noch, setze ich
> es auf /home/*/public_html geht gar kein PHP mehr.
Safe_mode macht nur sinn in Kombination mit open_basedir. open_basedir
oder safe_mode alleine bringt nichts.

Ich würde open_basedir explezit angeben (vollständige Pfadangabe ohne
Wildcards), homedirs deaktivieren und alles über sauber konfigurierte
virtual_hosts umsetzen.

> > Ist Dir das zu restriktiv dann solltest Du php als CGI einsetzen und
> > über suexec die Ausführung mit den Rechten des Eigentümers
> > bewerkstelligen.
> 
> Aber PHP als CGI kann ja weniger als das mod_php oder? Das muss ich
> mir erst anschauen wie da meine Apps reagieren.
Unsinn. Allerdings musst Du #!/pfad/zum/php/interpreter am Anfang jedes
über CGI auszuführende PHP Script schreiben. Dies ist CGI typisch und so
auch bei Perl, Python, Shell oder was weis ich noch identisch. Mit einem
automatismus ist das aber nicht weiter kompliziert.

> > Du verwendest kein Includes sondern system.
> 
> Ok, verstehe, alles klar. Ich hab das "exec" missverstanden, dachte
> system() zählt als ein solches.
Ich meinte damit, dass Du keine Server Side Includes verwendest.
Options IncludesNoExec steht ledilgich dafür, dass SSI Scripte ohne exec
Befehle ausgeführt werden dürfen. In PHP kannst Du neben exec auch
system verwenden - mit einem include wird jedoch wiederum etwas ganz
anderes gemacht (Datei wird includiert - also geöffnet und wie normal
geschriebener Quellcode behandelt).


greetinXs,         
Michael Hilscher  
-- 
Would Mozart have been more productive if he had scribes to help him, a
secretary and a CEO to lead his way? -- Linus Torvalds

Reply to:

Follow-Ups:
- Re: Frage zu Sicherheit public_html und php
  - From: Stephan Dietl <webmaster@cargal.org>

References:
- Frage zu Sicherheit public_html und php
  - From: Stephan Dietl <webmaster@cargal.org>
- Re: Frage zu Sicherheit public_html und php
  - From: Michael Hilscher <macvampi@michael-hilscher.de>
- Re: Frage zu Sicherheit public_html und php
  - From: Stephan Dietl <webmaster@cargal.org>

Prev by Date: Re: Abmagerungskur
Next by Date: Re: Schade
Previous by thread: Re: Frage zu Sicherheit public_html und php
Next by thread: Re: Frage zu Sicherheit public_html und php
Index(es):
- Date
- Thread