Re: Frage zu Sicherheit public_html und php

To: debian-user-german@lists.debian.org
Subject: Re: Frage zu Sicherheit public_html und php
From: Stephan Dietl <webmaster@cargal.org>
Date: Tue, 29 Apr 2003 21:53:08 +0200
Message-id: <[🔎] 20030429195308.GA1631@cargal.org>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 20030428225219.A4531@linbook>
References: <[🔎] 20030422224900.GC918@cargal.org> <[🔎] 20030423093509.A23352@linbook> <[🔎] 20030428201438.GA4288@cargal.org> <[🔎] 20030428225219.A4531@linbook>

Hallo!

Michael Hilscher <macvampi@michael-hilscher.de> schrieb:
> Safe_mode macht nur sinn in Kombination mit open_basedir. open_basedir
> oder safe_mode alleine bringt nichts.

Ich hab es jetzt versucht mal nur für den Directoryeintrag zu setzen,
das scheint aber nicht zu gehen:

<Directory /home/*/public_html>
    AllowOverride FileInfo AuthConfig Limit
    Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
    php_admin_value safe_mode= On
    php_admin_value open_basedir .
    <Limit GET POST OPTIONS PROPFIND>
        Order allow,deny
        Allow from all
    </Limit>
    <Limit PUT DELETE PATCH PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
        Order deny,allow
        Deny from all
    </Limit>
</Directory>

system() geht weiterhin.

> 
> Ich würde open_basedir explezit angeben (vollständige Pfadangabe ohne
> Wildcards), homedirs deaktivieren und alles über sauber konfigurierte
> virtual_hosts umsetzen.

Wo würdest du das open_basedir setzen, in der /etc/php4/apache/php.ini ?

Mit welchem Wert? 

Zumindest eine App ( http://gallery.sf.net ) geht mit
safe_mode nicht, soll ich da für das einen vhost machen und dort
safe_mode= Off setzen? Geht das, siehe oben, überhaupt, auf
vhosts-Basis?

> 
> Unsinn. Allerdings musst Du #!/pfad/zum/php/interpreter am Anfang jedes
> über CGI auszuführende PHP Script schreiben. Dies ist CGI typisch und so
> auch bei Perl, Python, Shell oder was weis ich noch identisch. Mit einem
> automatismus ist das aber nicht weiter kompliziert.

Ok, verstehe, ich hatte nur im Hinterkopf daß der Funktionsumfang der
CGI-Variante geringer sei. Sorry falls das BS ist :) .

> Ich meinte damit, dass Du keine Server Side Includes verwendest.
> Options IncludesNoExec steht ledilgich dafür, dass SSI Scripte ohne exec
> Befehle ausgeführt werden dürfen. In PHP kannst Du neben exec auch
> system verwenden - mit einem include wird jedoch wiederum etwas ganz
> anderes gemacht (Datei wird includiert - also geöffnet und wie normal
> geschriebener Quellcode behandelt).

Und wieder was gelernt :) , danke!


Ciao,

Steve
-- 
www.cargal.org
GnuPG-key-ID: 0x051422A0
"Be the change you want to see in the world"-Mahatma Gandhi
Jabber-ID: lotussteve@cargal.org

Attachment: pgp7SV23gQIwU.pgp
Description: PGP signature

Reply to:

Follow-Ups:
- Re: Frage zu Sicherheit public_html und php
  - From: Hans Gerber <gerber@niekom.de>

References:
- Frage zu Sicherheit public_html und php
  - From: Stephan Dietl <webmaster@cargal.org>
- Re: Frage zu Sicherheit public_html und php
  - From: Michael Hilscher <macvampi@michael-hilscher.de>
- Re: Frage zu Sicherheit public_html und php
  - From: Stephan Dietl <webmaster@cargal.org>
- Re: Frage zu Sicherheit public_html und php
  - From: Michael Hilscher <macvampi@michael-hilscher.de>

Prev by Date: Re: Passwod mit Script
Next by Date: Re: boot sector backup
Previous by thread: Re: Frage zu Sicherheit public_html und php
Next by thread: Re: Frage zu Sicherheit public_html und php
Index(es):
- Date
- Thread