phpbar.de logo

Mailinglisten-Archive

[php] include auf Systemdateien verhindern

[php] include auf Systemdateien verhindern

Peaveway_(at)_aol.com Peaveway_(at)_aol.com
Wed, 27 Dec 2000 15:51:36 EST


In einer eMail vom 27.12.00 21:13:39 (MEZ) Mitteleuropäische Zeit schreibt 
sven_(at)_telelev.net:

> ich arbeite mitlerweile bei einem kleinen Provider und wir moechten
>  unseren Kunden auch php anbieten. Was uns aber z.Z. enorm stoert ist
>  das es moeglich ist mit php saemliche Systemdateien (vor allem
>  /etc/passwd) mit anonymous rechten zu bestaunen. Kann man das
>  irgendwie effektiv unterbinden?
>  
>  Was mir dazu bis jetzt eingefallen ist eine chroot umgebung die
>  allerdings nachtraeglich auf einem Server mit ca. 3500 Usern sehr
>  schwer zu realisieren ist.
>  Alternativ wuerde sich php als cgi nur fuer die Kunden mit Domain
>  anbieten. Da koennte man dann noch effektiv an den Rechten drehen.
>  Mir persoenlich waere es allerdingslieber eine globale Loesung mit php
>  static oder als DSO zu finden.
>  Wenn ich irgendwo Doku oder aehnliches uebersehen habe: RTFM ist gerne
>  genommen.
>  
>  Ich weiss selber dass das Bestaunen eines des Systems im ro Mode
>  relativ ungefaehrlich ist aber sowas kann imerhin Fehler in config und
>  alte Versionsnummern offenlegen und ich stuffe sowas als unnoetige
>  Einladung zum gehackt werden ein.

Selbst das bestaunen sollte schon unterbunden werden. Es ist damit ja auch 
moeglich die Passwoerter / Kundeninformationen/Kreditkartennummer usw. von 
den Webauftritten der anderen Kunden auf dieser einen Maschine zubetrachten. 
Und wenn du erst mal damit angefangen wird die DB eines anderen zuloeschen 
hoert der spass ja dann auch auf....

Schau mal in der php.ini nach safe_mode und setzt es auf 'on' . Nun kann ein 
phpscript unteranderem nur noch doch Dateien anlangen die dem selben User 
gehoeren.

Wirklich Sicher wird die Geschichte aber erst mit PHP in der CGI Variante und 
einsatzt eine Wrappers wie SUEXEC oder SBOX. Sowohl aus der Sicht des Hostern 
als auch des Kunden.

Gruss
Joerg Behrens

--
TakeNet GmbH                        Mobil: 0171/60 57 963       
D-97080 Wuerzburg                   Tel: +49 931 903-2243       
Alfred-Nobel-Straße 20              Fax:+49 931 903-3025


php::bar PHP Wiki   -   Listenarchive