Frage zu Python / mod_python vergleich PHP /mod_php

[rǃppz]

Hallo,

habe eine Frage zu der Sicherheit wenn mod_python im Apache geladen wird. Bei PHP über mod_php gibt es ja einige Sicherheitsprobleme wie z.B. die shell funktionen oder safe_mode und ähnliches. Das Grundproblem ist ja das PHP unter den Rechten des Apachen ausgeführt wird und nicht unter den Rechten des Users. Es gibt natürlich genügend Wege das Problem zu lösen wie z.B. suPHP oder suEXEC also PHP als CGI.

Nun zu meiner Frage

Ist es mit python auch möglich solches Schindluder zu treiben wenn python als Modul geladen wird? Und wäre es auch Sicherheitsbedenken besser python als CGI auszuführen?

[captaincrunch]

Ist es mit python auch möglich solches Schindluder zu treiben wenn python als Modul geladen wird?

Kurze Antwort: Ersetze Python durch eine beliebige Programmiersprache deiner Wahl, und die Antwort lautet: ja.

Etwas längere Antwort: Grundlegend ist jede Software unsicher, egal, in welcher Sprache sie geschrieben ist. Es hängt also nicht von der Sprache, sondern von der Art des Programmierers sie zu nutzen ab. Im Falle von Python halte ich persönlich die Gefahr allerdings für etwas geringer, da hier gewisse "Spielregeln" direkt zu Anfang eingehalten werden müsssen, und Klein-Hänschen nicht nach fünf Minuten sagen kann: "Schau mal Mama, ich hab hier eine tolle dynamische Webseite prgrammiert!"...

SCNR

[rǃppz]

Ja mir ist durchaus bewusst das jedes Softwareprodukt irgendwo Macken hat.

Meine Frage zieht auch eher auf Multiusersysteme ab also in wie weit ist es möglich das ein fremder Benutzer über python das System manipuliert sobald python über mod_python geladen wird?

[Joe User]

Ist es mit python auch möglich solches Schindluder zu treiben wenn python als Modul geladen wird? Und wäre es auch Sicherheitsbedenken besser python als CGI auszuführen?

Ja. Ja.

[EDIT: Zu spät...]

[Joe User]

Meine Frage zieht auch eher auf Multiusersysteme ab also in wie weit ist es möglich das ein fremder Benutzer über python das System manipuliert sobald python über mod_python geladen wird?

So, wie mit jedem anderen mod_$Interpreter auch...

[Roger Wilco]

Meine Frage zieht auch eher auf Multiusersysteme ab also in wie weit ist es möglich das ein fremder Benutzer über python das System manipuliert sobald python über mod_python geladen wird?

Genauso, wie über mod_php.
Der Vorteil ist, dass die ganzen PHP-Exploits nicht mehr funktionieren.
Der Nachteil ist, dass jetzt die ganzen Python-Exploits funktionieren. ;)

Das gleiche gilt für mod_perl, mod_ruby, mod_lisp usw.
Du kannst mit jeder Skriptsprache, die hinreichend mächtig ist, bei einer Konfiguration, die hinreichend lasch ist, das System manipulieren.

[captaincrunch]

Du kannst mit jeder Skriptsprache, die hinreichend mächtig ist, bei einer Konfiguration, die hinreichend lasch ist, das System manipulieren.

...wobei es meist weniger eine lasche Konfiguration, sondern eher Unfähigkeit des "Programmierers" ist, die das System unsicher macht. ;)

[rǃppz]

Ja klar je nach dem System oder Programmierer. Aber ich denke es gibt möglichkeiten das System entsprechend abzuriegeln über fastgi mit python damit alle scripte unter Userberechtigungen ausgeführt werden dann noch ein grsecurity Kernel mit chroot und einigermaßen aktuellen Versionen auf dem System. Dann noch über den Kernel begrentzen damit Apache keine compiler aufrufen kann. Außerdem /tmp noexec mounten und eben jede Menge solcher Kleinigkeiten die auf bei einer schlechten Programmierung das Eindringen in das Grundsystem erschweren.

[Roger Wilco]

Ja, wobei das dann nichts mehr speziell mit Python/mod_python zu tun hat, sondern mit einer allgemeinen Absicherung deiner Programmumgebung.

[rǃppz]

Das stimmt, jedoch müsste jeder Server so abgeischert werden, damit Lücken in PHP, Perl, Python oder anderern Scriptsprachen nicht ein ganzes System gefährden können.

Es ist (siehe die vielen Einträge hier im Forum) nicht selten so das über irgenwelche Bugs, Software runtergeladen und compilet wird schon und ist ein weiteres Mitglied in einem Botnetz vorhanden ist.

Jedoch hat das dann wirklich nichts mehr mit dem Thema zu tun.
Könnte soweit geclosed werden meine Frage ist geklärt. :-D

[fishingshrimp]

aber genau wie php müsste man doch auch python via mod_fastcgi laufen lassen können. dann noch mod_security, um gewisse exploits direkt auf einem höheren level schon zu filtern.

ich hab's nicht getestet (mit python) - aber müsste doch genauso klappen. wer's noch was sicherer will lässt die einzelnen dinger nochmal chrooted laufen.

habe seit wir mod_security und php via fastcgi einsetzen endlich ruhe.

hat das schonmal jemand mit python versucht? im grunde muss man doch nur die endung und den aufzurufenden parameter ändern...

[rǃppz]

Es gibt da einen xtra wrapper siehe http://www.fastcgi.com