Jop es läuft nen Apache 2 nach SuExec, fcgi usw.
Läuft wunderbar, dank der unterschiedlichen recht kann der php Prozess des einen Users nicht im Verzeichniss des anderen wildern, aber dank der Standardberechtigungen bei Debian können alle z.B. über ein Script wie webadmin.php in etc und sonstwo auf der Platte browsen.
Wie stell ich das am besten ab?
Su Exec/fcgi nach Howto, wie sperrt man schnüffelnde Sripte ein?
Re: Su Exec/fcgi nach Howto, wie sperrt man schnüffelnde Sripte ein?
Stichwort fcgi + apache chroot und open_basedir ...
Re: Su Exec/fcgi nach Howto, wie sperrt man schnüffelnde Sripte ein?
ahh open_basedir hab ich gesucht..
Also mit /var/www/domain.tld:/tmp:/includedir_fuer_pear_und_co
scheint zu funktionieren.. braucht man sonst noch was?
das chrooten des apache hab ich mal sein gelassen, da nicht besonders einfach, oder?
Also mit /var/www/domain.tld:/tmp:/includedir_fuer_pear_und_co
scheint zu funktionieren.. braucht man sonst noch was?
das chrooten des apache hab ich mal sein gelassen, da nicht besonders einfach, oder?
Re: Su Exec/fcgi nach Howto, wie sperrt man schnüffelnde Sripte ein?
open_basedir is leider nicht ausreichend. Es gibt Extensions die sich da nicht daran halten. Die mysql unter 4.3 hatte da z.B. Probleme. Bin mir nicht sicher, ob das unter 5.x immer noch so is. Man sollte sich darauf also nicht verlassen.
Re: Su Exec/fcgi nach Howto, wie sperrt man schnüffelnde Sripte ein?
Was genau meinst Du mit Extensions die sich nicht dran halten?
Das die in nem anderen Verzeichnis liegen, oder mehr wollen? oder das sie aus dem Openbasedir rauskommen?
Primär ging es mir darum das nicht jemand aus seinem Acc rausgucken kann..
Das die in nem anderen Verzeichnis liegen, oder mehr wollen? oder das sie aus dem Openbasedir rauskommen?
Primär ging es mir darum das nicht jemand aus seinem Acc rausgucken kann..
Re: Su Exec/fcgi nach Howto, wie sperrt man schnüffelnde Sripte ein?
Ja, curl zum Beispiel.rootsvr wrote:oder das sie aus dem Openbasedir rauskommen?
Bei sinnvoll gesetzten Rechten ist das unnötig...rootsvr wrote:Primär ging es mir darum das nicht jemand aus seinem Acc rausgucken kann..
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: Su Exec/fcgi nach Howto, wie sperrt man schnüffelnde Sripte ein?
jep.. aber was sind sinnvolle Rechte?
Ich wollte jetzt nicht unbedingt jedes Verzeichniss der Debian stable Version anpassen, wenn ich jetzt z.B. /etc/ die o-rwx nehme zerschiesse ich mir was?
..
..
Ich will das jetzt nicht unbedingt am lebenden Objekt ausprobieren, wer weiß wer alles /etc/groups o.ä. lesen muß, ein PHP Script des Kunden sicher nicht..
Zu curl hab ich das:
http://secunia.com/advisories/13023/
gefunden, sollte aber mit PHP 4.4.2 nicht mehr relevant sein.
Ich wollte jetzt nicht unbedingt jedes Verzeichniss der Debian stable Version anpassen, wenn ich jetzt z.B. /etc/ die o-rwx nehme zerschiesse ich mir was?
..
..
Ich will das jetzt nicht unbedingt am lebenden Objekt ausprobieren, wer weiß wer alles /etc/groups o.ä. lesen muß, ein PHP Script des Kunden sicher nicht..
Zu curl hab ich das:
http://secunia.com/advisories/13023/
gefunden, sollte aber mit PHP 4.4.2 nicht mehr relevant sein.
Re: Su Exec/fcgi nach Howto, wie sperrt man schnüffelnde Sripte ein?
Wenn du pauschal Rechte entziehst sicherlich.
(hast du da was anderes erwartet :P ? )
(hast du da was anderes erwartet :P ? )
Re: Su Exec/fcgi nach Howto, wie sperrt man schnüffelnde Sripte ein?
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.