[php] chroot beim php setup

[Joerg Behrens]

Moin,

----- Original Message -----
From: "Michael Koch" <mkoch_(at)_bremen-ports.de>
To: <php_(at)_phpcenter.de>
Sent: Tuesday, September 04, 2001 4:02 PM
Subject: Re: [php] chroot beim php setup


> > > Die Rechte so setzen, dass das nicht möglich ist, Nicht alles einem
> > > Benutzer zugehörig machen, sondern die Dateien jedes VHosts einem
anderen
> > > Benutzer zugehörig machen.
> >
> > schon klar, das ist ja auch der Fall. Aber nehmen wir mal an, apache
> > läuft unter dem System-user "apache". Dann muss apache (und damit auch
> > php) Leserechte in jedem vhost-Verzeichnis haben, richtig? Wenn dem so
> > ist, dann unterscheidet php aber nicht, ob es grad im Verzeichnis von
> > vhost1 oder von vhost2 liest. So könnte sich der Betreuer von vhost1
> > ganz leicht alles ansehen, was im Verzeichnis von vhost2 liegt und zwar
> > im Quelltext und nicht geparst.
>
> Ich vergass zu erwähnen, dass man dafür dann den suexec-wrapper von apache
> verwenden muss, damit der Apache dann immer mit dem User läuft dem der
vhost
> gehört.
>

Bedingt das dann nicht den Einsatz von PHP ueber die CGI Schnittstelle ?
Oder geht das etwas mit den zum start geladenen Modulen auch ?

Eine andere (aber wahrschlich nicht 100% sicher ) waere halt fuer jeden
vhost open_dir zusetzen. Das verhindern das man includes/requieres
ausserhalb des angegeben. Verz. machen kann. Wenn man nun noch Systemaufrufe
wie system, exec, passthru disabled ist man fast auf der sicheren Seite.
Waeren da nur noch fopen/fsockopen. Ob man damit open_dir durchdringen kann
weis ich nicht.

Gruss
Joerg Behrens