phpMyAdmin und WebFTP + safe mode off

[xyloid]

Hallo

Ich habe ein kleines Webinterface für meine Webspace Kunden gebastelt. In diesem VHost ist der PHP Safe Mode deaktiviert, weil ich exec("du -hs /home/$benutzer") benutze um den belegten Speicher der User anzuzeigen.

Meine eigenen Scripte habe ich weitgehend auf Sicherheit geprüft und optimiert.
Allerdings ist dem dem VHost auch phpMyAdmin und WebFTP (http://www.v-wijk.net) eingerichtet.
Daher stellt sich die Frage, inwiefern dies ein Sicherehitsproblem darstellt diese beiden fremden PHP Scripts bei deaktiviertem safe mode laufen zu lassen.
Mich würde mal eure Einschätzung/Meinung dazu interessieren.

Nico

[alexander newald]

Auf dem Server Quota einrichten und dies mit Systemfunktionen abfragen. So wird kein Start eines externen Programms benötigt und safe_mode kann an bleiben. Zumindest in Perl geht dies mit

Code: Select all

require Quota;
$home = "/home/benutzer";
$uid = 500;
$dev = Quota::getqcarg($home);
($block_curr,$block_soft,$block_hard,$block_timelimit,$inode_curr,$inode_soft,$inode_hard,$inode_timelimit) = Quota::query($dev,$uid);

$block_curr und $inode_curr enthalten dann den aktuellen Quota. Ist nur die UserID und nicht die Uid bekannt, kann man die wie z.B. in http://de.selfhtml.org/cgiperl/funktion ... m#getpwnam ermittel

[xyloid]

hat sich erledigt: hab ne andere Lösung gefunden

Nico

[captaincrunch]

Toll. Noch toller wäre aber, wenn du uns an deiner Weishwit teilhaben lassen würdest, dadurch hätten u.U. noch mehr Leute etwas davon.

[xyloid]

Da ich das Proftpd Modul mod_quotatab ( http://www.castaglia.org/proftpd/module ... tatab.html ) in Verbindung mit mySQL zum Verwalten der Quotas verwende, kann ich den belegten Speicher ganz einfach aus der mySQL Datenbank auslesen :)
Bin ich nur vorher nicht drauf gekommen..

Nico

[alexander newald]

Aber nur, wenn die Benutzer keinen Shellzugriff haben

[xyloid]

haben keinen shellzugriff... nur ftp ;)

Nico