php absichern

Rund um die Sicherheit des Systems und die Applikationen
fisch
Posts: 4
Joined: 2003-07-20 10:54

php absichern

Post by fisch » 2003-07-20 11:01

hab jetzt mal folgendes gemacht:

disable_functions = exec,system,shell_exec,passthru,proc_open
safe_mode_exec_dir /home/www/empty
open_basedir /home/www/web1
chmod 660 für upload-verzeichnisse

Kann ich mich damit schon halbwegs sicher fühlen obwohl ich keinen safe_mode aktiviert hab?

arty
Userprojekt
Userprojekt
Posts: 729
Joined: 2002-06-12 10:11

Re: php absichern

Post by arty » 2003-07-20 11:31

Hi,

wenn du nicht alleine auf dem Server bist, nimm PHP als CGI anstatt von mod_php. Interessantes zu dem Thema findest du auch hier: http://www.dclp-faq.de/q/q-konfiguration-safe-mode.html

bye
arty

kase
Posts: 1031
Joined: 2002-10-14 22:56

Re: php absichern

Post by kase » 2003-07-22 14:28

disable Functions bringt nix, das ist ein Bug in PHP, die funktionieren trotzdem alle. Am besten, da machst den Safe Mode an.

darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf

Re: php absichern

Post by darkspirit » 2003-07-22 22:50

Register_Globals sollte man möglichst auch auf Off stellen.. kann zu einer Sicherheitslücke werden, wenn Scripte mies gecodet sind..

arty
Userprojekt
Userprojekt
Posts: 729
Joined: 2002-06-12 10:11

Re: php absichern

Post by arty » 2003-07-23 08:12

DarkSpirit wrote:Register_Globals sollte man möglichst auch auf Off stellen.. kann zu einer Sicherheitslücke werden, wenn Scripte mies gecodet sind..
warum denn das? Wenn Scripte schlecht geschrieben werden und register_globals = off ist, funktionieren sie nicht mehr.

bye
arty

darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf

Re: php absichern

Post by darkspirit » 2003-07-23 11:50

Eben, wenn sie laufen würden, können sie eine Sicherheitslücke sein.. ;)
Aber ok, der Tipp ist nicht optimal gewesen, wollte nur sagen, dass das zum Absichern von PHP eigentlich dazu gehört..

checksumde
Posts: 19
Joined: 2003-07-25 23:58

Re: php absichern

Post by checksumde » 2003-07-26 10:29

Ich hab jetzt folgendes in die php.ini eingetragen,
kann mir jmd sagen ob dies so richtig ist und ob ich evtl
etwas vergessen habe?

Code: Select all

safe_mode = on
safe_mode_gid = on
safe_mode_include_dir =
safe_mode_exec_dir = /var/www/emtpy
open_basedir = /var/www/
disable_functions = system,exec,passthru,popen,escapeshellcmd,shell_exec
mfg checksum