Script-Bugs auf virtuelle Hosts beschränkt?

Rund um die Sicherheit des Systems und die Applikationen
casper99
Posts: 18
Joined: 2006-05-04 07:56

Script-Bugs auf virtuelle Hosts beschränkt?

Post by casper99 » 2006-05-04 07:59

Hi,

ich möchte auf meinem Root Server mehrere verschiedene Kundenpräsentationen haben. Quasi als Reseller.

Ich frage mich nun, was passieren kann, wenn alle User
selbst cgi und PHP scripts hochladen und ausführen dürfen.

Jeder Kunde erhält ja durch confixx einen virtuellen Host (Apache).
Sind somit security bugs wie sie ja oft z.B. in PHPbb auftreten auf diesen Kunden beschränkt?

Anders ausgedrückt, können andere Daten auf dem Webserver beim Hack eines virtuellen Hosts auch betroffen sein?

Danke soweit.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Script-Bugs auf virtuelle Hosts beschränkt?

Post by captaincrunch » 2006-05-04 08:10

Anders ausgedrückt, können andere Daten auf dem Webserver beim Hack eines virtuellen Hosts auch betroffen sein?
Einfache Frage, einfache Antwort: Ja.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

casper99
Posts: 18
Joined: 2006-05-04 07:56

Re: Script-Bugs auf virtuelle Hosts beschränkt?

Post by casper99 » 2006-05-04 08:12

schade :-(

Also sollte man solche php scripts für andere user nicht zulassen,
oder hilft mir da der safe_mode weiter??

arty
Userprojekt
Userprojekt
Posts: 729
Joined: 2002-06-12 10:11

Re: Script-Bugs auf virtuelle Hosts beschränkt?

Post by arty » 2006-05-04 09:47

Der Safe Mode ist nicht sicher.

Auf einem Shared Server solltest du auf PHP als CGI setzen.

bye
arty

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Script-Bugs auf virtuelle Hosts beschränkt?

Post by rootsvr » 2006-05-04 11:53

PHP als CGI ändert auch nichts an der Tatsache, erst kombiniert mit suExec o.ä. bringt es was, denn nur nen cgi statt mod_php installiert zu haben würde immer noch die gleichen User haben, oder nicht?

Ne bessere Möglichkeit ist IMHO:
das fastcgi/suexec HowTo mit unterschiedlichen Usern, Openbasedir und entsprechenden Rechten. Alternativ kann man das sicher noch weiter treiben über Jails/Chroot.

In wie weit conffix oder Plesk das eh so machen weiß ich nicht.

Deine Frage ist sehr allgemein gehalten, so wie: "können bei einem Autounfall Menschen getötet werden" Die antwort darauf muß JA sein. Es hängt immer von der Konfiguration ab und selbst mit einer sicheren Konfig kannst Du irgendwie über neue Sicherheitslücken getroffen werden. So könnte ein Fehler bei einem User halt nen local root Exploit nutzen und damit die ganze Kiste knacken.

casper99
Posts: 18
Joined: 2006-05-04 07:56

Re: Script-Bugs auf virtuelle Hosts beschränkt?

Post by casper99 » 2006-05-04 13:38

Also,
laut Konfigurationsdateien:

PHP läuft im safe_mode
"oben_base_dir" ist für PHP gesetzt auf entsprechende user-verzeichnisse

Apache
-----
suExec ist mit SuExecUserGroup auf entsprechenden Kunden (user) gesetzt


der "httpd2-prefork" ist als root gestartet.
Die Kindprozesse als user "www"

Wo kann ich sehen, daß PHP wirklich suExec benutzt und nicht als Modul läuft??
In der httpd.conf wird kein mod_php geladen,
in der phpinfo Funktion zeigt er keine Infos dazu.

Wäre das dann die Konfig, die Ihr auf Schlag als "sicher" ;-) betrachten würdet. (Ich weiss: es gibt keine vollk. sicherheit ;-) ))
Last edited by casper99 on 2006-05-04 13:41, edited 1 time in total.

arty
Userprojekt
Userprojekt
Posts: 729
Joined: 2002-06-12 10:11

Re: Script-Bugs auf virtuelle Hosts beschränkt?

Post by arty » 2006-05-04 13:39

casper99 wrote:Wo kann ich sehen, daß PHP wirklich suExec benutzt und nicht als Modul läuft??
bist du dir sicher, dass ein Rootserver das richtige für dich ist?

bye
arty

casper99
Posts: 18
Joined: 2006-05-04 07:56

Re: Script-Bugs auf virtuelle Hosts beschränkt?

Post by casper99 » 2006-05-04 13:41

jo

Der-Tim
Posts: 102
Joined: 2002-11-08 10:48
Location: Hamburg

Re: Script-Bugs auf virtuelle Hosts beschränkt?

Post by Der-Tim » 2006-05-04 13:58

casper99 wrote:jo
Ich glaube kaum...

casper99
Posts: 18
Joined: 2006-05-04 07:56

Re: Script-Bugs auf virtuelle Hosts beschränkt?

Post by casper99 » 2006-05-04 14:00

wetten?? ;-)

Habs ja gefunden...

Der-Tim
Posts: 102
Joined: 2002-11-08 10:48
Location: Hamburg

Re: Script-Bugs auf virtuelle Hosts beschränkt?

Post by Der-Tim » 2006-05-04 14:01

Ganz im Ernst: Du solltest lieber zu einem Provider wechseln, der Dir einen managed Server stellt... Ich glaube nicht, dass Du bei einer solchen Fragestellung und der darauf folgenden Reaktion in der Lage bist einen Server zu administrieren...

EDIT: Kleiner Tipp > mod_chroot und mod_security

duergner
Posts: 923
Joined: 2003-08-20 11:30
Location: Pittsburgh, PA, USA

Re: Script-Bugs auf virtuelle Hosts beschränkt?

Post by duergner » 2006-05-04 15:22

Oder der Post von Joe User von vor ein paar Tagen. Da gab's einige interessante Ansätze.

casper99
Posts: 18
Joined: 2006-05-04 07:56

Re: Script-Bugs auf virtuelle Hosts beschränkt?

Post by casper99 » 2006-05-04 16:41

ok. die "suExec" Geshichte ist ja schonmal ganz nett.
Eine Application-Level Firewall wie "mod_security" ist denke ich auch ein guter Ansatz.

Werde mich damit mal etwas beschäftigen.

Danke soweit.

metrix
Posts: 94
Joined: 2002-10-26 15:52

Re: Script-Bugs auf virtuelle Hosts beschränkt?

Post by metrix » 2006-05-07 14:53

hat einer Hintergrundwissen wie die großen Provider wie Strato, 1und1 & Co. das Problem angehen? Die müssen ja auch sicherstellen, dass nicht ein Kunde zig tausend andere Kunden mit abschießt...

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Script-Bugs auf virtuelle Hosts beschränkt?

Post by Joe User » 2006-05-07 15:17

MeTRiX wrote:hat einer Hintergrundwissen wie die großen Provider wie Strato, 1und1 & Co. das Problem angehen?
Grundlegende Sicherheitsmechanismen, eigene Distributionen, diverse selbstentwickelte Patche, etc...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

mediman
Posts: 13
Joined: 2006-05-24 13:58

Re: Script-Bugs auf virtuelle Hosts beschränkt?

Post by mediman » 2006-05-26 13:07

MeTRiX wrote:hat einer Hintergrundwissen wie die großen Provider wie Strato, 1und1 & Co. das Problem angehen? Die müssen ja auch sicherstellen, dass nicht ein Kunde zig tausend andere Kunden mit abschießt...
I.d.R. nutzen sie spezielle Software wie z.B. Virtuozzo, HSPComplete.

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Script-Bugs auf virtuelle Hosts beschränkt?

Post by lord_pinhead » 2006-05-26 15:31

casper99 wrote: Eine Application-Level Firewall wie "mod_security" ist denke ich auch ein guter Ansatz.
Application-Level Firewall??? Bin mir zwar nicht sicher wo du den super Begriff aufgeschnappt hast, aber ich kann mal wieder lachen, danke :D

mediman
Posts: 13
Joined: 2006-05-24 13:58

Re: Script-Bugs auf virtuelle Hosts beschränkt?

Post by mediman » 2006-05-26 19:10

Lord_Pinhead wrote:
casper99 wrote: Eine Application-Level Firewall wie "mod_security" ist denke ich auch ein guter Ansatz.
Application-Level Firewall??? Bin mir zwar nicht sicher wo du den super Begriff aufgeschnappt hast, aber ich kann mal wieder lachen, danke :D
mod_security ist eine solche, denn so nennt man sich in Applikationen integrierende FW´s.

Mag ja sein, dass er nicht wirklich weiss, wovon er redet (wird hier erstaunlich oft zum Problem gemacht, na ein Glück, dass ihr alle Kernel compilend geboren seid), aber der Begriff ist korrekt.

just my 2 cents

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Script-Bugs auf virtuelle Hosts beschränkt?

Post by rootsvr » 2006-05-27 22:56

Lord_Pinhead wrote: Application-Level Firewall??? Bin mir zwar nicht sicher wo du den super Begriff aufgeschnappt hast, aber ich kann mal wieder lachen, danke :D
Dann lach mal ;-)

http://www.heise.de/security/artikel/69070
könnte es her sein, aber der Begriff ist Korrekt, weil ja mod_security auf application ebene filtert, Du z.B. bestimmt php request passieren läßt, andere nicht. eine normale Firewall ist ja nur ein Portfilter. Also nicht so vorschnell junger Padawan.