Re: Frage zu Sicherheit public_html und php
On Fri, May 02, 2003 at 09:13:18PM +0200, Stephan Dietl wrote:
> <VirtualHost www.example.com>
> ServerName www.example.com
> DocumentRoot /www-home/example.com
> [...]
> <Location />
> php_admin_value open_basedir \
> "/www-home/example.com/:/usr/lib/php/"
> </Location>
> </VirtualHost>
...
>
> Dieser Tip funktioniert aber nicht bei mir, bzw. funktionierte einmal
> bis zu Restart bzw. vielleicht hatte ich auch ein Browsercacheproblem.
>
>
> Was kann ich bitte noch tun?
Versuche es so wie ich es Dir beschrieben habe. Ich setze es selbst ein
und habe unter Apache 1.3.x sowie 2.0.45 alles wie gewünscht umsetzen
können (also mit safe_mode und open_basedir).
Ein location ist nicht notwendig. open_basedir ist wie gesagt nicht der
Grund warum "der exploit" funktioniert sondern der deaktivierte
Safe_mode.
Wahrscheinlich greift der Apache nicht über den von Dir definierten
VirtualHost sondern einen anderen (doppelt Eintrag) oder gar dem
Standard Host auf den Exploit zu. Nutze die Möglichkeiten von DNS und
der Namensbezogenen Zuweisung (unbedingt anderen DocumentRoot
verwenden), dann kannst Du über eine Subdomain wie bla.blub.de auch
ausschließen, dass ein anderer Konfigurationsabschnitt zu rate gezogen
wird. Falls die Domainadresse nicht gefunden wird, verwendet Apache
immer den Default Server bzw. den als ersten definierten VirtualHost.
greetinXs,
Michael Hilscher
--
Would Mozart have been more productive if he had scribes to help him, a
secretary and a CEO to lead his way? -- Linus Torvalds
Reply to: