RootForum Community

Hallo

Ich habe ein kleines Webinterface für meine Webspace Kunden gebastelt. In diesem VHost ist der PHP Safe Mode deaktiviert, weil ich exec("du -hs /home/$benutzer") benutze um den belegten Speicher der User anzuzeigen.

Meine eigenen Scripte habe ich weitgehend auf Sicherheit geprüft und optimiert.
Allerdings ist dem dem VHost auch phpMyAdmin und WebFTP (http://www.v-wijk.net) eingerichtet.
Daher stellt sich die Frage, inwiefern dies ein Sicherehitsproblem darstellt diese beiden fremden PHP Scripts bei deaktiviertem safe mode laufen zu lassen.
Mich würde mal eure Einschätzung/Meinung dazu interessieren.

Nico

Auf dem Server Quota einrichten und dies mit Systemfunktionen abfragen. So wird kein Start eines externen Programms benötigt und safe_mode kann an bleiben. Zumindest in Perl geht dies mit
$block_curr und $inode_curr enthalten dann den aktuellen Quota. Ist nur die UserID und nicht die Uid bekannt, kann man die wie z.B. in http://de.selfhtml.org/cgiperl/funktion ... m#getpwnam ermittel

hat sich erledigt: hab ne andere Lösung gefunden

Nico

Toll. Noch toller wäre aber, wenn du uns an deiner Weishwit teilhaben lassen würdest, dadurch hätten u.U. noch mehr Leute etwas davon.

Da ich das Proftpd Modul mod_quotatab ( http://www.castaglia.org/proftpd/module ... tatab.html ) in Verbindung mit mySQL zum Verwalten der Quotas verwende, kann ich den belegten Speicher ganz einfach aus der mySQL Datenbank auslesen :)
Bin ich nur vorher nicht drauf gekommen..

Nico

Aber nur, wenn die Benutzer keinen Shellzugriff haben

haben keinen shellzugriff... nur ftp ;)

Nico