phpbar.de logo

Mailinglisten-Archive
[php] Sicherheitsfrage

[php] Sicherheitsfrage

Stefan php_(at)_phpcenter.de
Wed, 9 Jan 2002 14:21:39 +0100 

----- Original Message -----
From: "Nils Meyer" <meyer_(at)_wmc24.de>
To: "Stefan Frank" <php_(at)_phpcenter.de>
Sent: Wednesday, January 09, 2002 12:45 PM
Subject: [php] Re: Sicherheitsfrage


> Hallo,
>
> Am Mittwoch, 9. Januar 2002 um 12:06 schrieb Stefan Frank:
>
> > Ich hoffe ich erwische gleich beim ersten Anlauf
> > auch die Richtige e-Mail Adresse wo meine eMail
> > auch hin *muss* für diese Mailingliste.
>
> Kommt drauf an, ob das jetzt an die anonymen Alkoholiker oder an uns
> gehen sollte...

No comment :-)

> > Ich würde gerne Wissen ob - und wenn es möglich ist -
> > wie ich php so Einstellen kann das jeder User auf einem
> > Server nur in seinem Home Dir "arbeiten" kann.
>
> Dazu sind die Direktiven safe_mode und open_basedir in der php.ini
> interessant. Das open_basedir müsste allerdings in der vhost
> Konfiguration gesetzt werden.

Danke werd ich mir in jedem fall gleich mal genauer ansehn.

> > Ich habe mal davon gehört das wenn man Apache ohne
> > suexec: enabled; valid wrapper installiert - das es möglich
> > sein soll per Script andere (System) Daten auszuspähen.
>
> Korrekt. Eine bessere Abhilfe als safe mode und open_basedir ist
> allerdings, suexec nachzuinstallieren, hierzu muss man in einem Apache
> Source Tree allerdings die suexec.h selbst anpassen, oder einfach
> nochmal ein configure mit den entsprechenden Befehlen durchlaufen
> lassen.

Also suexec hab ich bereits Installiert
[notice] SIGHUP received.  Attempting to restart
[notice] FastCGI: process manager initialized (pid 9817)
[notice] Apache/1.3.22 (Unix) PHP/4.0.6 mod_fastcgi/2.2.10
mod_throttle/3.1.2 mod_ssl/2.8.5 OpenSSL/0.9.$
[notice] suEXEC mechanism enabled (wrapper: /usr/local/apache/bin/suexec)
[notice] Accept mutex: sysvsem (Default: sysvsem)

Allerdings ist mir da entweder ein Fehler unterlaufen, oder das
System ist einfach unsicher. Per PHP Script ist es problemlos
möglich auf meinem Server und bei Namhaften grossen Providern
solang man einen Account dort hat sich zugriff über das komplette
System zu verschaffen. Einzigste ausnahme is das home dir vom root user.


> > Ist sowas mit php auch möglich? Wenn Ja Worauf müsste
> > man achten um das zu Unterbinden?
>
> siehe oben.
>
> http://www.php.net/manual/de/features.safe-mode.php
> http://www.php.net/manual/en/configuration.php
>
> mit freundlichen Grüßen,
>  Nils Meyer <mailto:meyer_(at)_wmc24.de>
>
> --
> Nils Meyer . Eichenweg 7 . 21745 Hemmoor
> t: +49 (0)4771 68 98 80  | http://www.nmeyer.com
> f: +49 (0)4771 68 98 27  | http://www.clickad24.de
> m: +49 (0)174 20 34 08 5 |
> --
> ** http://www.php-center.de **
> Die PHP-Liste: mailto: php_(at)_phpcenter.de
> http://lists.phpcenter.de/mailman/listinfo/php

php::bar PHP Wiki   -   Listenarchive