Frage zu debianhowto.de Apache2, php5-fcgi... HowTo

[aliced]

hi rooties,

ich hab da mal 'ne Frage zu dem HowTo auf debianhowto.de (Apache2, php5-fcgi, php4-fcgi, mod_fastcgi HowTo) von kase.
Im vhost wird mit SuexecUserGroup der User angegeben der das Script ausführt und so wie ich es verstanden hab auch gleichzeitig dem es gehört bzw. per ftp hochgeladen hat damit z.B. mit nem Script er in seine eigene Files schreiben kann.
Nun meine Frage, muss der User/Group im System existieren?
Da ich proftpd mit mysql backend nutze habe ich nur virtuelle Nutzer die es im System nicht gibt.
Ich habe z.B. einen proftpd User: uid 10001 ; gid 10001 muss ich dann in den VHOST SuexecUserGroup 10001 10001 eintragen?

Ich bin ein wenig verwirrt ich hoffe ich könnt mir ein wenig klarheit verschafen:)

Danke!

[Roger Wilco]

Da ich proftpd mit mysql backend nutze habe ich nur virtuelle Nutzer die es im System nicht gibt.
Ich habe z.B. einen proftpd User: uid 10001 ; gid 10001 muss ich dann in den VHOST SuexecUserGroup 10001 10001 eintragen?

Ist dir klar, dass du den Zweck von SuExec damit völlig aushebelst und genauso gut darauf verzichten könntest?

[aliced]

Ist dir klar, dass du den Zweck von SuExec damit völlig aushebelst und genauso gut darauf verzichten könntest?

Jetzt wo du es sagst :roll:
Hmm d.h. wenn ich virtuelle ftp nutzer will muss ich auf suexec verzichten und wenn ich suexec will muss ich jeden ftp nutzer als system nutzer anlegen und auf das proftpd mysql backend verzichten.
Ach das ist ja wieder zum Haare raufen...
Was schlägst du vor? :?

[Roger Wilco]

Was schlägst du vor? :?

Du könntest dir was mit pam_mysql basteln (siehe http://users.linuxbourg.ch/fvgoto/infor ... ysqlim.pdf).
Ich weiss allerdings nicht, inwiefern du das dann mit der UID und GID von proftpd hinbiegen kannst.

[Joe User]

http://www.google.com/search?num=100&hl ... tnG=Search

[aliced]

Also ich hab mir das alles jetzt nochmal durch den Kopf gehen lassen, und bevor ich mir jetzt pam_mysql angucke habe ich noch Fragen.
Also, auch wenn es mit pam_mysql irgendwie funktioniert, scheint es mir doch dann doch recht sinnlos dass ich mehrere FTP user für einen vhost erstelle, denn ich kann ja dem SuexecUserGroup nur einen user angeben.D.h. alles dateien die nicht von dem user der in SuexecUserGroup angegeben sind müssten zumindest g+w sein?!
Und was würde ich denn an sicherheit verlieren wenn ich auf suexec verzichten?
Ob das php script nun als www-data oder hinz oder kunz ausgeführt wird ist doch egal, denn wenn in eine datei geschrieben werden soll kann ich die doch ruhig auf chmod 777 setzen, denn schreiben kann doch eh nur der apache.
Also immer noch fragen über fragen :?

schonmal danke für eure Geduld ;)

[Roger Wilco]

Also, auch wenn es mit pam_mysql irgendwie funktioniert, scheint es mir doch dann doch recht sinnlos dass ich mehrere FTP user für einen vhost erstelle, denn ich kann ja dem SuexecUserGroup nur einen user angeben.

Nein, lies mal den 1. Treffer von Joe Users Google-Suche. Du kannst die UID und GID, die für den Benutzer gelten sollen, dem ProFTPd übergeben.

Ob das php script nun als www-data oder hinz oder kunz ausgeführt wird ist doch egal, denn wenn in eine datei geschrieben werden soll kann ich die doch ruhig auf chmod 777 setzen, denn schreiben kann doch eh nur der apache.

Sobald du die Zugriffsmaske 0777 setzt, können alle schreiben. Nicht nur der Apache...

[aliced]

Sobald du die Zugriffsmaske 0777 setzt, können alle schreiben. Nicht nur der Apache...

Ja aber nur die user die z.b. über ssh auf dem system sind, ansonsten kann nur der apache schreiben und der http wrapper lässt das schreiben von anderen server nicht zu. es sei denn man benutzt mod_dav. Des weiteren beschränkt ja open_basedir das schreiben vom gleichen server.

[Roger Wilco]

Ja aber nur die user die z.b. über ssh auf dem system sind, ansonsten kann nur der apache schreiben und der http wrapper lässt das schreiben von anderen server nicht zu. es sei denn man benutzt mod_dav. Des weiteren beschränkt ja open_basedir das schreiben vom gleichen server.

Dann lädt der böse Benutzer ein böses Exploit hoch und kann dieses dank der großzügigen Rechte einfach über system() oder exec() ausführen. Dazu noch ein vllt. verwundbarer Kernel und schon hast du einen 2. root auf der Kiste...

[aliced]

hmm ok überzeugt, soweit hab ich natürlich wieder nicht gedacht :roll:

danke

[aliced]

Ich hab mich jetzt für libnss-mysql entschieden, somit ist das SuexecUserGroup Problem gelöst, es lässt sich leicht ein kleines Adminsystem scripten und ich kann später bei bedarf einem nutzer noch eine shell zur verfügung stellen...
also nochmal vielmals danke!!!

[jamiewolf]

HI Alice,

ich hab mein ganzes System mit der libnss-mysql aufgestezt und nach dem Tutorial von debainhowto.de.

Zu dem hab ich noch sysCP laufen, was die Verwaltung der Webpackages übernimmt. Sieht bei dir so aus als würdest du das auch benutzen :)

Ich hab auch noch ein paar Frage zur der ganzen Sache.
Und zwar werden bei mir in das error Log alle möglichen warnings etc rein geschrieben. Das will ich aber nicht.
Um mir mal in Gedanken die Frage selber zu beantworten, das liegt doch garantiert mit der php.ini zusammen. Leider hab ich gerade keinen Zugriff auf meinen Server, was heißt, dass ich kein Beispiel eines solchen Eintrags geben kann.

Das nächste wäre, dass wenn ich ein open_basedir in der vHost Konfiguration angebe, dann startet der apache nicht mehr und meldet einen Fehler.
Hängt das event. damit zusammen das PHP als fastCGI compiliert wurde? Oder hat das andere Hintergründe?

Soweit erstmal mein Wissensdurst :)

Gruß Benjamin