Mailinglisten-Archive |
Hallo Mark, Mark-Walter at t-online.de wrote: > Hallo, > > normalerweise laufen auf einem Webserver die PHP-Skripte unter der > UID-Berechtigung die ganz normal auch ueber via FTP-Client > passiv gepushed werden. Wenn PHP als Apache Module laeuft, du kannst PHP auch als CGI laufen lassen, dann kann man die Scripte auch unter einer anderen UID laufen lassen. > $ ls -la localconf.php > -rwx------ 1 www-data www-data 230 Jul 18 11:58 localconf.php > > Damit kann per include das Passwort eingebunden werden, und lediglich > z.B. root oder www-data koennen Leserechte erlangen. Ein chmod 400 wuerde doch auch reichen. > Meine Frage: > > localconf.php wird ja nicht ausgefuert und es nicht moeglich > zusaetzliche Prozessrechte im System ueber Angriffe zu erreichen. > > Aber ! Reicht das nun aus oder sollte die localconf.php ausserhalb > des DocumentRoot des Webserver liegen und ist die Zugehoerigkeit > von www-data als Dateinhaber mit 700 eine Sicherheitsluecke fuer > Attacken ? Wenn das PHP mit keiner openbasedir Restriction laeuft, kann von einem anderen Vhost auf die Datei zugegriffen werden, z.B. per readfile(), das wuerde aber auch funktionieren, wenn du die Datei ausserhalb des DocumentRoot legst. Gruss Martin
php::bar PHP Wiki - Listenarchive