Als ich letztens ein Sicherheitsproblem auf dem Server hatte wurde mod_security empfohlen. Das Problem ist, das Kunden Webseiten erstellen können, mit denen alle möglichen Files hochgeladen werden können (zB php-files). Das möchte ich unterbinden.
Jetzt habe ich mir alle möglichen howtos für mod_security durchgelesen, weiss aber immer noch nicht, wie ich zB für file-uploads nur bestimmte Dateitypen zulassen könnte. Nur wie man hochgeladene Dateien an ein externes Programm übergibt zum checken.
Hat da jemand noch eine gute Anleitung für mich?
mod_security und php file upload
-
lord_pinhead
- Posts: 774
- Joined: 2004-04-26 15:57
Re: mod_security und php file upload
Ich glaub zwar nicht das es mit mod_sec gehen könnte, aber du kannst ja mal mit SetInputFilter rumspielen und es versuchen, aber ohne jegliche gewähr. mod_upload wäre glaube ich das nächste was du nehmen könntest, ansonsten die Kunden darauf ansprechen.
Re: mod_security und php file upload
Hmm, auf mod_upload bin ich auch gerade gestossen, hat da jemand erfahrung mit? Bzw weiss ob es damit geht? Und wie dann die hochgeladnen Dateien unter php zur Verfügung stehen, nachdem sie von mod_upload ausgepackt wurden?
Kunden ansprechen, klar, das hat das eine Problem beseitigt. Aber das will ich ein für allemal "ausschalten".
Kunden ansprechen, klar, das hat das eine Problem beseitigt. Aber das will ich ein für allemal "ausschalten".
Re: mod_security und php file upload
wenn du das ausführen von PHP-Files verhindern willst, da gibt es sinnvollere Lösungen. Beispiel (Fast)CGI.
Re: mod_security und php file upload
Könntest du das näher ausführen, bitte?
Bin ja für jeden Hinweis dankbar.
Bin ja für jeden Hinweis dankbar.
-
sledge0303
- Posts: 695
- Joined: 2005-09-16 00:06
- Location: Berlin-Reinickendorf
- Contact:
Re: mod_security und php file upload
Du musst dir nur die Einleitung des Howtos php4/php5 FastCGI im Debianhowto durchlesen. Darin steht alles beschrieben was es damit auf sich hat. Simples Beispiel: suexec!!!OhGott wrote:Könntest du das näher ausführen, bitte?
Bin ja für jeden Hinweis dankbar.
Re: mod_security und php file upload
Ahso danke,
eine Frage noch, ist das auf Suse auch so anzuwenden, oder funktioniert es dort nicht. Oder anders?
eine Frage noch, ist das auf Suse auch so anzuwenden, oder funktioniert es dort nicht. Oder anders?
Re: mod_security und php file upload
Es heisst "Debian"-Howto, oder?
Re: mod_security und php file upload
Deshalb frage ich ja mal lieber erst...
Re: mod_security und php file upload
Naja, es gibt zwar (gottseidank) inzwischen einige Distributionsübergreifende Merkmale.. Aber so weit, dass sich Howtos einfach auf mehreren (nicht verwandten!) Distris umsetzten lassen, sind wir noch nicht. Wird wohl auch immer so bleiben.