dateiberechtigungen und suexec, suphp und co.

[james004]

hi leute,
suexec und suphp führen scripte unter uid und gid des konfigurierten users aus. soweit prima, nur verstehe ich - auch nach intensiver lektüre - noch immer nicht was genau der sicherheitsvorteil ist.

ok, ich kann meine httpd.conf chmod 600 machen und keiner meiner nutzer kann sie mehr lesen. mit einem haufen anderer dateien geht das nicht, zB muss der apache ja weiterhin die dateien aus den webverzeichnissen lesen können. wenn nun die dateien uid und gid meiner nutzer haben kann ich doch nur chmod 604 machen, womit die nutzer die dateien ihrer nachbarn trotzdem wieder lesen können. damit sind username und pw von datenbanken und co die in den scripten untergebracht sind wieder für alle lesbar.

ganz abgesehen davon sind world-readable dateien lesbar egal unter welcher uid die scripte nun ausführt werden? hilft da denn nur chrooten oder mod_security, oder übersehe ich da was ganz substantielles wie es mit den "normalen" dateirechten gehen könnte?

danke für die hilfe!

PS: bitte spart euch links auf google, doku von suexec und co, ich werd da einfach nicht fündig

[prickelpit]

oder übersehe ich da was ganz substantielles wie es mit den "normalen" dateirechten gehen könnte?

Der Wrapper sorgt ja gerade dafür, daß eben nicht der Apache-User, sondern der Besitzer das Skript ausführt. Daher braucht www-data auch keine Leserechte.

[james004]

Der Wrapper sorgt ja gerade dafür, daß eben nicht der Apache-User, sondern der Besitzer das Skript ausführt. Daher braucht www-data auch keine Leserechte.

okay, damit kann ich die skripte mit chmod 600 versehen, für ganz "normale" .htm brauche ich aber nachwievor noch chmod 604... diese differenzierung muss ich dann aber von hand vornehmen? aber immerhin sind damit schon mal fremde skripte vor lesezugriff geschützt.

das mit dem world-readable bleibt aber, und damit kann ich mir mit einem selbst-geskripteten filebrowser nachwievor den ganzen server anschauen? oder lässt sich das mit dem rechtesystem verhindern?

[Roger Wilco]

das mit dem world-readable bleibt aber, und damit kann ich mir mit einem selbst-geskripteten filebrowser nachwievor den ganzen server anschauen? oder lässt sich das mit dem rechtesystem verhindern?

Nein (bei sinnvollen Permissions). Ja.

[prickelpit]

Der Wrapper sorgt ja gerade dafür, daß eben nicht der Apache-User, sondern der Besitzer das Skript ausführt. Daher braucht www-data auch keine Leserechte.

das mit dem world-readable bleibt aber, und damit kann ich mir mit einem selbst-geskripteten filebrowser nachwievor den ganzen server anschauen? oder lässt sich das mit dem rechtesystem verhindern?

Du könntest z.B. in die Gruppen der einzelnen Nutzer jeweils www-data hinzufügen. Dann setzt du für die Homeverzeichnis 750er Rechte. Da alle Skripte unter der uid des entsprechenden Nutzers laufen, darf ein Filebrowser dann nicht mehr in fremde Homeverzeichnisse rein.

[james004]

das mit dem world-readable bleibt aber, und damit kann ich mir mit einem selbst-geskripteten filebrowser nachwievor den ganzen server anschauen? oder lässt sich das mit dem rechtesystem verhindern?

Nein (bei sinnvollen Permissions). Ja.

und wie sehen diese "sinnvollen permissions" denn nun genau aus? (abgesehen vom vorschlag von Prickelpit - danke übrigens!)

[hgi2001]

Hallöchen,

Du könntest z.B. in die Gruppen der einzelnen Nutzer jeweils www-data hinzufügen. Dann setzt du für die Homeverzeichnis 750er Rechte. Da alle Skripte unter der uid des entsprechenden Nutzers laufen, darf ein Filebrowser dann nicht mehr in fremde Homeverzeichnisse rein.

Womit Du ein neues Problem bekommst: Mehr als 32 Gruppen sind nicht möglich. Meines Wissens ist das Limit erst ab Kernelversionen >2.6.3 angehoben (65k?) - gilt aber auch für die libc.

Grüße