phpbar.de logo

Mailinglisten-Archive

[php] wozu ist das gut

[php] wozu ist das gut

Matthias Pigulla mp_(at)_webfactory.de
Wed, 16 Jun 1999 20:44:02 +0200


Norbert Pfeiffer wrote:
> Das vorlaeufihge Ergebnis kann man hier sehen:
> http://www.web-as.de/workshop/view/
> 
> Na-ja, fuer Dich ist das sicher nicht umwerfend, jedoch
> der 'kleine' Web-Autor kann damit sehen, was auf seinem
> virtuellen Host alles so rumliegt  ;-)

:-OO

Für mich als sicherheitsbewußten Admin ist das _Horror_. Ich stehe auf
dem Standpunkt, daß jeder User auf so einem System nur das sehen darf,
was er unbedingt benötigt.

Und wenn ich mich da nicht täusche, ist es machbar - geschickte User-
und Gruppeneinteilung vorausgesetzt - den Apache so zu konfigurieren,
daß man wenigstens nicht in /etc oder so reinkommt.

Trotzdem läßt es sich aber wohl nicht verhindern, daß jeder User via PHP
die Möglichkeit hat, auf Dateien zuzugreifen, die auch für den Apache
lesbar sind? Muß ja, solange PHP als Apache-User läuft. Und dabei sind
dann die Zugriffsrechte zu unterlaufen, die man Apache-seitig
konfiguriert. (Beispielsweise <Files *~>deny from all</Files>).

IMHO ist es dann mit geschickten Scripten möglich, Dateien wie .htaccess
oder so auszulesen, in denen Paßwörter (und wenn auch verschlüsselt)
hinterlegt sein können?

Gottseidank ist bei Norbert Demo der Datei-Viewer deaktiviert. Ansonsten
hätte man ja z. b. in der httpd.conf nachschauen können, ob und wie ein
Paßwort für mod_auth_mysql gesetzt ist? Schrecklich!

Um das hier konkreter zu machen: Gibt es eine Möglichkeit oder ist sie
in Planung, um
 - PHP als Modul zu verwenden
 - gleichzeitg vor der Ausführung ein su durchzuführen?

Praktisch so eine Art suEXEc Wrapper für PHP als _Modul_ (aus
Performancegründen)?

Matthias
-- 
   w e b f a c t o r y | matthias pigulla
 
      am wichelshof 10   fon 0228-9636949
      53111 bonn         fax 0228- 655656
      www.webfactory.de  mp_(at)_webfactory.de


php::bar PHP Wiki   -   Listenarchive