N'abend
Ich nutze auf Debian 3.1 den Apache 2 und das suPHP der Distribution.
Funktioniert auch alles (eigentlich) prächtig.
Nun habe ich festgestellt, das man die vom admin vorgegebene php-Konfiguration mit selbst erzeugten Dateien "php.ini" in einem Verzeichnis seines Webspaces komplett ändern kann. Z.B. kann man den safemode deaktivieren und anderes. Das fatale ist, wenn in so einer php.ini nur eine Zeile drinsteht, dann werden auch alle nicht definitiv gesetzten Konfigurationsparameter geändert. Scheinbar auf irgendwelche völlig unsicheren Defaultwerte.
Frage:
Wie kann ich es als admin verhindern, das bei suPHP diese php.ini-Dateien im Webspace ausgewertet werden.
suPHP und php.ini im Webspace
Re: suPHP und php.ini im Webspace
na anscheinend ja überhaupt nicht .....Jabba wrote:N'abend
Ich nutze auf Debian 3.1 den Apache 2 und das suPHP der Distribution.
Funktioniert auch alles (eigentlich) prächtig.
also ehrlich gesagt ich versteh nur Bahnhof.
Wo hast Du die php.ini?
Zufälligerweise im webroot, also da gehört sie definitiv nicht hin.
chown root:root
gruß cirox
Re: suPHP und php.ini im Webspace
Nein, selbstverständlich die die globale php.ini nicht im Webroot, sondern unter /etc/php...cirox wrote:Jabba wrote:nhof.
Wo hast Du die php.ini?
Zufälligerweise im webroot, also da gehört sie definitiv nicht hin.
Bei suPHP können die Nutzer eines Webs via ftp eigene php.ini-Dateien hochladen, welche dann für das jeweilige Verzeichnis die dort eingestellten Einstellungen übernehmen. Das wirkt nicht rekursiv, sondern eben nur für dieses Verzeichnis.
Das ist ein bekanntes Feature bei suPHP und prinzipiell auch nützlich.
Ich möchte es dennoch verbieten.
Daher die Frage: Gibt es eine Möglichkeit die Verarbeitung solcher php.ini's zu deaktivieren?
Re: suPHP und php.ini im Webspace
Hallo,
also ich kenn suphp, aber meine user dürfennatürlich nicht die php.ini ändern. Mal davon abgesehen, dass fast-cgi besser ist, kannst Du doch die php.ini irgendwo im System verstecken.
gruß cirox
also ich kenn suphp, aber meine user dürfennatürlich nicht die php.ini ändern. Mal davon abgesehen, dass fast-cgi besser ist, kannst Du doch die php.ini irgendwo im System verstecken.
gruß cirox
Re: suPHP und php.ini im Webspace
Liest Du eigentlich was ich schreibe?cirox wrote:Hallo,
also ich kenn suphp, aber meine user dürfennatürlich nicht die php.ini ändern. Mal davon abgesehen, dass fast-cgi besser ist, kannst Du doch die php.ini irgendwo im System verstecken.
gruß cirox
Re: suPHP und php.ini im Webspace
Hallo,
jetzt ja .... ehrlich gesagt ist mir das neu, daß ein user einfach ne php.ini hochlädt und das dann für das Verzeichnis gilt, also so wie ne ./htacess. Bei ner ./htaccess kann an das ja pro vhost einstellen, was überschrieben werden darf und was nicht mit "Options ...".
Ich hab mal geschaut unter /etc/apache2/mods-available.... und in der suphp.conf unter /etc, aber nichts gesehen.
man suphp :)
gruß cirox
jetzt ja .... ehrlich gesagt ist mir das neu, daß ein user einfach ne php.ini hochlädt und das dann für das Verzeichnis gilt, also so wie ne ./htacess. Bei ner ./htaccess kann an das ja pro vhost einstellen, was überschrieben werden darf und was nicht mit "Options ...".
Ich hab mal geschaut unter /etc/apache2/mods-available.... und in der suphp.conf unter /etc, aber nichts gesehen.
man suphp :)
gruß cirox