RootForum Community

Hallo,

ich verwende den Apache 1.3.xx mit dem Modul: mod_vhost_alias (infos: http://httpd.apache.org/docs/mod/mod_vhost_alias.html).

Der apache selber läuft als www:www.

Ich habe ja logischerweise mehrere Domains (sonst würde ich das Modul nicht verwenden ;) )

Wenn ich jetzt z.b. auf DomainA.de bin, besteht jetzt noch die Möglichkeit z.b. via PHP oder Perl befehle auszuführen um den Quelltext von Dateien von z.b. DomainB.de zu bekommen. Dies würde ich gerne unterbinden - weil die 2. Domänen ja nichts miteinander zu tun haben.

Als Ansatzmöglichkeiten habe ich mir chroot bzw. den SAFE_MODE von Php angeschaut, bin aber nicht wirklich zu einem brauchbaren Ergebnis gekommen.

Ich kann ja z.B. bestimmte Unix Kommandos sperren - allerdings weiss ich nicht, ob dies dann noch mit dem php upload skript (z.b. vom Forum) noch harmoniert - oder ob das dann den Dienst verweigert.

Den einzelnen Verzeichnissen UNIX Rechte zu vergeben ist auch nicht wirklich sinnvoll, da ich nur einen UNIX user (www) und group (www) für alle Domains habe.

Kann mir jemand helfen - und wenn ja, wie :) ?

danke und grüße

sNOW

Hi sNOW,

das gleiche Problem habe ich auch. Siedig heiss ist mir heute aufgefallen, dass ich ja problemlos per PHP auf den kompletten Server zugreifen kann, zumindest mal Dateien von / aufwaerts anschauen, auf die alle Lesezugriff haben. Genau so schlimm ist es natuerlich, dass man sich in alle VHosts bewegen kann und dort Vollzugriff hat, da die VHosts gesammelt unter einem Apache auch logischerweise unter ein und dem selben User laufen.

Bist Du da inzwischen weitergekommen oder hat jemand ne Idee?

Es muss ja ne Moeglichkeit geben, das zu unterbinden, spaetestens wenn auf dem Server Kunden ihr Unwesen treiben.

Ich haette gerne eine Konfiguration, in der PHP-Skripte und auch andere Scripte nur innerhalb des jeweiligen VHosts ausgefuehrt werden und unter dem Document-Root dieses VHosts keinen Zugriff haben. Moechte allerdings PHP nicht einschraenken, da viele Systemtasks (Backup, Taskueberpruefungen etc pp) auf PHP laufen.

Viele Gruesse,
Roi

vielleicht hilft ja suphp und suexec weiter

PS: wieso meinst Du eigentlich das modul benutzen zu müssen. habe das modul z. b. nicht geladen und kann trotzdem vhost'en

http://www.rootforum.org/forum/viewtopi ... t&start=30

hier steht die loesung. die optionen fuer den vhost funktionieren, php-scripts duerfen nicht mehr unterhalb des angegebenen base-dirs rumfummeln... *freu*

bleibt das problem mit anderen scripten, z.b. perl und so weiter.