Re: Frage zu Sicherheit public_html und php

To: debian-user-german@lists.debian.org
Subject: Re: Frage zu Sicherheit public_html und php
From: Michael Hilscher <macvampi@michael-hilscher.de>
Date: Wed, 30 Apr 2003 19:55:46 +0200
Message-id: <[🔎] 20030430195546.A10565@linbook>
In-reply-to: <[🔎] 20030430153007.GC1299@cargal.org>
References: <[🔎] 20030430091320.B7880@linbook> <[🔎] 20030430153007.GC1299@cargal.org>

On Wed, Apr 30, 2003 at 05:30:07PM +0200, Stephan Dietl wrote:
> <VirtualHost XXX.XXX.XXX.XXX>
>     ServerName SERVER/members/USER
>     ServerAlias SERVER/members/USER
>     DocumentRoot /var/www/members/USER
>     php_admin_value safe_mode= On
>     php_admin_value open_basedir /var/www/members/USER
> </VirtualHost>
> 
> Das ändert aber nichts. Was mache ich da falsch?
Ich weiss nicht recht. Die Syntax für safe_mode sieht bei mir anders
aus. Allerdings hast Du ja geschrieben, dass Dir open_basedir Probleme
bereitet. Nun verstehe ich allerdings nicht _was_ nicht funktioniert.
OpenBasedir sperrt Befehle in das angegebene Dir und seine
Unterverzeichnisse ein. Falls Dein PHP Script also irgendwo ausserhalb
vom open_basedir zugreifen will, erklärt das ein "funktioniert nicht".

> Es würde mir bitte sehr helfen wenn du den bei dir funktionierenden
> Eintrag posten könntest, herzlichen Dank.
php_admin_value open_basedir /home/kundenserver/xyz
php_admin_flag safe_mode on

Wie gesagt - bis auf den Safe_mode ist es bei mir identisch. 
  
> > Mit dem absolutem Pfad ins vom Nutzer erreichbare Root Verzeichnis
> > innerhalb des <Virtual Hosts>
> 
> Hier nehme ich scheints den falschen Wert, bitte um Berichtigung.
Falls Dein User in /var/www/members/USER sein Webverzeichnis hat und
darauf zugreifen kann, ist es schon richtig so. Aber wie gesagt - WAS
geht denn nicht? Welche Fehlermeldungen kommen denn?

> > Und JA - das geht. Habe ich Dir doch von Anfang an empfohlen ...
> 
> Das glaube ich dir für dich gerne, leider ist es derzeit bei mir immer
> noch möglich bei jeder Applikation Passwörter auszulesen.......
Was für Passwörter denn? /etc/passwd oder gar /etc/shadow (LOL)? Liegen
die Passwortdateien ausserhalb vom Open_basedir?

Du kannst mit dem minni PHP Script:
--- cut ---
<?php
echo phpinfo ();
?>
--- /cut ---
überprüfen, welche Einstellungen für den Ort in dem das PHP Script
ausgeführt wurde gelten.


greetinXs,         
Michael Hilscher  
-- 
Would Mozart have been more productive if he had scribes to help him, a
secretary and a CEO to lead his way? -- Linus Torvalds

Reply to:

References:
- Re: Frage zu Sicherheit public_html und php
  - From: Michael Hilscher <macvampi@michael-hilscher.de>
- Re: Frage zu Sicherheit public_html und php
  - From: Stephan Dietl <webmaster@cargal.org>

Prev by Date: Re: wo finde ich acrobat-reader pakete?
Next by Date: Re: Debian HowTo "Druckbar"
Previous by thread: Re: Frage zu Sicherheit public_html und php
Next by thread: update-rc.d
Index(es):
- Date
- Thread