Page 2 of 2
Re: PHP richtig konfigurieren
Posted: 2006-08-12 14:52
by cirox
PS: [EDIT] bitte löschen.
gruß cirox
Re: PHP richtig konfigurieren
Posted: 2007-01-22 04:58
by guwapo
ist open_basedir mit der Absicht leer gelassen (aber nicht auskommentiert) damit man dort sein Pfad eintragen soll/muss/kann, oder soll der generell leer bleiben.
War eigentlich der Meinung, das open_basedir eine ziehmlich wichtige (vor allem wenn safe_mode = Off) Sicherheitseinstellung ist.
Re: PHP richtig konfigurieren
Posted: 2007-01-22 09:03
by daemotron
Abhängig davon, ob Du pro virtuellem Host eine eigene php.ini hast oder nicht, macht es Sinn, den Wert direkt in der php.ini zu setzen - oder eben nicht. Bei einer php.ini für mehrere virtuelle Hosts wirst Du das innerhalb der Webserver-Konfiguration machen wollen:
Code: Select all
php_admin_value open_basedir=/dein/verzeichnis/des/vhost
Re: PHP richtig konfigurieren
Posted: 2007-01-22 17:06
by guwapo
jfreund wrote:Abhängig davon, ob Du pro virtuellem Host eine eigene php.ini hast oder nicht, macht es Sinn, den Wert direkt in der php.ini zu setzen - oder eben nicht. Bei einer php.ini für mehrere virtuelle Hosts wirst Du das innerhalb der Webserver-Konfiguration machen wollen:
Code: Select all
php_admin_value open_basedir=/dein/verzeichnis/des/vhost
ja das sowieso. Ging mir jetzt eigentlich nur um den Beispielconfig, der hier im ersten Beitrag gepostet wurde.
Re: PHP richtig konfigurieren
Posted: 2007-01-22 17:20
by Joe User
guwapo wrote:ja das sowieso. Ging mir jetzt eigentlich nur um den Beispielconfig, der hier im ersten Beitrag gepostet wurde.
Die Option ist absichtlich so gesetzt, siehe jfreund. Desweiteren wurden Safemode und Openbasedir endlich aus PHP-HEAD entfernt und stehen ab der nächsten Major-Release nicht mehr zur Verfügung. Wer noch auf diese Optionen setzt/vertraut, sollte sich langsam grundsätzliche Gedanken zu seinem Sicherheitskonzept machen...
Re: PHP richtig konfigurieren
Posted: 2007-01-22 19:00
by guwapo
ich dachte eigentlich nur das safemode als "unsicher" gilt. Aber worauf sollte man dann sicherheitstechnisch setzen?
Wenn beides wegfällt, was wird PHP offiziell sicherheitstechnisch überhaupt noch anbieten?
Ich hoffe ich muss mich jetzt nicht hinsetzen und eine Chroot/Jail Umgebung aufbauen.
Re: PHP richtig konfigurieren
Posted: 2007-07-06 13:30
by corni
Hi,
ein paar Kommentare zu der PHP-INI:
würde ich auf /var/www/html setzen, es heißt ja, man muss die Pfade manuall noch anpassen...
Code: Select all
disable_functions = show_source, readfile, escapeshellcmd, escapeshellarg
Sinn?
Wenn man einen Server hat, auf dem web und MySQL-Server laufen, würde ich das auf on stellen, und mysql.max_persistent = -1 auf etwas höheres. Das gleiche giilt natürlich für die anderen DBMS.
Code: Select all
max_execution_time = 300
max_input_time = 600
Jeweils auf 100 Sekunden(oder niedriger), wenn man nicht gerade große Dateien durch ne Modemverbindung uploaden muss, sonst ist das imho eine DoS-Gefahr(
http://www.php-security.org/MOPB/MOPB-02-2007.html ,
http://www.php-security.org/MOPB/MOPB-03-2007.html)
Desweiteren:
Joe User wrote:Desweiteren wurden Safemode und Openbasedir endlich aus PHP-HEAD entfernt und stehen ab der nächsten Major-Release nicht mehr zur Verfügung.
Das ist einfach falsch :P.
http://cvs.php.net/viewvc.cgi/php-src/NEWS?view=markup&pathrev=HEAD wrote:- Removed old legacy:
. "register_globals" support. (Pierre)
. "register_long_arrays" ini option. (Dmitry)
. "safe_mode" support. (Ilia, Andi)
. "allow_call_time_pass_reference", added E_STRICT error message. (Dmitry)
. session_register(), session_unregister() and session_is_registered()
(needed only with "register_globals=On").
. "magic_quotes_gpc", "magic_quotes_runtime" and "magic_quotes_sybase" ini
options. (Pierre)
. Changed get_magic_quotes_gpc(), get_magic_quotes_runtime to always return
false and set_magic_quotes_runtime() to raise an E_CORE_ERROR.
Desweiteren:
Rasmus hat
hier u.a. geschrieben:
Rasmus Lerdorf wrote:
5. Remove safe_mode and focus on open_basedir
Sonstr hätte der Hackergeplagte Shared-PHP-Hoster ja gar keine Möglichkeit mehr, sich Skriptkiddies vom Leibe zu halten :D
btw:
jfreund wrote:
BeitragVerfasst am: 22. 01. 2007 - 10:03 Titel:
Abhängig davon, ob Du pro virtuellem Host eine eigene php.ini hast oder nicht, macht es Sinn, den Wert direkt in der php.ini zu setzen - oder eben nicht. Bei einer php.ini für mehrere virtuelle Hosts wirst Du das innerhalb der Webserver-Konfiguration machen wollen:
Code: Select all
php_admin_value open_basedir=/dein/verzeichnis/des/vhost
ist PHP5.2.0 kein Freund:(, siehe
http://securityreason.com/achievement_securityalert/42
MfG
Corni
Re: PHP richtig konfigurieren
Posted: 2010-05-02 11:01
by Anonymous
Bei Verwendung von php5-cgi und suPHP (mit open_basedir= no value + safe_mode= off), webuser's koennen mit PHP-Shell Server directory/files sehen aber nicht editieren oder rein schauen bei files.
Kann man so was verhindern?
system:
Debian Lenny
Re: PHP richtig konfigurieren
Posted: 2010-05-02 11:22
by Roger Wilco
Du koenntest die PHP-Interpreter jeweils in eine chroot-Umgebung packen. SuPHP bietet dafuer eine Option an. Allerdings benoetigst du dann pro Benutzer (bzw. pro PHP-Interpreter) eine komplette chroot-Umgebung mit allen Bibliotheken.
Das laesst sich zwar schoen skripten, benoetigt aber auch entsprechend mehr Speicher auf der Festplatte und bedeutet einen erhoehten Wartungsaufwand, um die chroot-Umgebungen aktuell zu halten.
Re: PHP richtig konfigurieren
Posted: 2010-05-02 14:06
by Anonymous
Danke @Roger Wilco, das heisst muss ich was anderes verwenden wie z.B mod_fcgid + suexec damit jede User-PHP Interpreter als eigener Prozess laufen kann.
Re: PHP richtig konfigurieren
Posted: 2010-05-02 14:42
by Roger Wilco
Sia wrote:das heisst muss ich was anderes verwenden wie z.B mod_fcgid + suexec damit jede User-PHP Interpreter als eigener Prozess laufen kann.
Du hast geschrieben, dass du bereits SuPHP benutzt. Damit werden die PHP-Interpreter ja bereits im jeweils angegebenen Benutzerkontext ausgefuehrt. mod_fcgid (oder mod_fastcgi) und SuExec unterscheiden sich lediglich dadurch, dass die PHP-Interpreter mehrere Requests ueberleben und nicht jedesmal neu gestartet werden muessen. Bezueglich der Rechteseparierung nehmen sich SuPHP und SuExec nicht viel, wobei ersteres angenehmer zu konfigurieren ist und letzteres auch mit mod_fcgid/mod_fastcgi zusammenarbeitet.
Re: PHP richtig konfigurieren
Posted: 2010-05-02 15:18
by Anonymous
Vielen Dank fuer diese infos,
Aber koennte jetzt als Benutzer eigene php.ini in eigens Homeverzeichnis haben?
Re: PHP richtig konfigurieren
Posted: 2010-05-02 18:29
by Roger Wilco
Ja, eine eigene php.ini pro Benutzer ist auch mit SuPHP möglich. Du suchst
SuPHP_ConfigPath.
Re: PHP richtig konfigurieren
Posted: 2010-05-02 23:55
by Anonymous
Vielen Dank.
Re: PHP richtig konfigurieren
Posted: 2010-08-03 22:24
by Joe User
Updated to PHP 5.3
Re: PHP richtig konfigurieren
Posted: 2013-01-21 20:11
by Joe User
Der erste Post wurde überarbeitet und aktualisiert.