Sicherheitsfrage zu Safe Mode und Register Global

[franks2]

Hallo,
ich habe nur 2 kurze Fragen:

Wenn ich Safe-Mode für root auf on stelle und für den user auf off stelle gibt es dann auch die gefahr das mein server (root) gehackt wird oder kann nur der user gehackt werden?

Das gleiche würde ich auch gerne üner Register Global wissen.

Danke für euere Hilfe[/b]

[Anonymous]

Erstmal sind Safe MODE und register_globals prinzipiell zwei ganz verschiedene Dinge. Register_globals sollte standardmäßig eben auf off sein, damit niemand von extern irgendwelche übergebene Variablen ggf. überschreibt.

Safe_mode hingegen verhindert eher, dass User A die Dateien von User B lesen, modifizieren oder gar löschen kann.

Prinzipiell kann man mit beiden Methoden nicht direkt *gehackt* werden .. wenn dann ist es eher eine Folge von einem unsauber geschriebenem Script, welches man dann ausnutzen könnte.

Da du aber wahrscheinlich keine Scripts unter 'root' laufen lässt oder ausführst sollte das einzelne aus bzw. anschalten von safe_mod bzw. register_globals legitim und vertretbar sein, empfehlen würde ich es dennoch nicht, da es eben nicht zwingend notwendig ist.

Ein gutes Script setzt darauf auf, ich würde dann ggf. das Script adaptieren

[franks2]

die frage ist aber noch nicht beantwortet.
wenn ich safe mode für den user auf off stelle und für den root auf on stelle kann dann der root gehackt werden oder nur der user?

[Anonymous]

Doch ist es ;)

Prinzipiell kann man mit beiden Methoden nicht direkt *gehackt* werden .. wenn dann ist es eher eine Folge von einem unsauber geschriebenem Script, welches man dann ausnutzen könnte.

Da du aber wahrscheinlich keine Scripts unter 'root' laufen lässt oder ausführst sollte das einzelne aus bzw. anschalten von safe_mod bzw. register_globals legitim und vertretbar sein

[franks2]

sorry, dass ich lästig bin. heisst das dass wenn ein kunde eine schlechtes script installiert er nur seinen eigenen userbereich hacken läst und niemand in der lage ist dadurch direkt auf den server zu kommen.

Doch ist es ;)

Prinzipiell kann man mit beiden Methoden nicht direkt *gehackt* werden .. wenn dann ist es eher eine Folge von einem unsauber geschriebenem Script, welches man dann ausnutzen könnte.

Da du aber wahrscheinlich keine Scripts unter 'root' laufen lässt oder ausführst sollte das einzelne aus bzw. anschalten von safe_mod bzw. register_globals legitim und vertretbar sein

[Anonymous]

sorry, dass ich lästig bin. heisst das dass wenn ein kunde eine schlechtes script installiert er nur seinen eigenen userbereich hacken läst und niemand in der lage ist dadurch direkt auf den server zu kommen.

Ja aber ich würde dennoch auf suexec/suphp zurueckgreifen

[franks2]

was heist suexec/suphp?

[Anonymous]

was heist suexec/suphp?

PHP ist einfach, überschaubar und leicht mit HTML zu kombinieren (http://www.php.net). Ziel dieses Howtos ist es, den Webserver Apache (oder Apache-SSL) um PHP-Unterstützung zu erweitern. Hier wird PHP als CGI hinzugefügt, was gegenüber der Modul-Version einiger Vorteile in Bezug auf die Sicherheit und flexibilität hat. Um dies zu realisieren, setzen wir auf SuPHP (http://www.suphp.org), was gegenüber SuEXEC speziell auf PHP zugeschnitten ist und so wesentlich leichter zu konfigurieren ist.

suPHP is a tool for executing PHP scripts with the permissions of their owners. It consists of an Apache module (mod_suphp) and a setuid root binary (suphp) that is called by the Apache module to change the uid of the process executing the PHP interpreter.

http://www.debianhowto.de/howtos/de/suphp/c_suphp.html
http://www.suphp.org/Home.html

:)

[franks2]

danke für deine hilfe