mod_security und php file upload

Apache, Lighttpd, nginx, Cherokee
ohgott
Posts: 28
Joined: 2006-03-21 16:21

mod_security und php file upload

Post by ohgott »

Als ich letztens ein Sicherheitsproblem auf dem Server hatte wurde mod_security empfohlen. Das Problem ist, das Kunden Webseiten erstellen können, mit denen alle möglichen Files hochgeladen werden können (zB php-files). Das möchte ich unterbinden.
Jetzt habe ich mir alle möglichen howtos für mod_security durchgelesen, weiss aber immer noch nicht, wie ich zB für file-uploads nur bestimmte Dateitypen zulassen könnte. Nur wie man hochgeladene Dateien an ein externes Programm übergibt zum checken.

Hat da jemand noch eine gute Anleitung für mich?
lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: mod_security und php file upload

Post by lord_pinhead »

Ich glaub zwar nicht das es mit mod_sec gehen könnte, aber du kannst ja mal mit SetInputFilter rumspielen und es versuchen, aber ohne jegliche gewähr. mod_upload wäre glaube ich das nächste was du nehmen könntest, ansonsten die Kunden darauf ansprechen.
ohgott
Posts: 28
Joined: 2006-03-21 16:21

Re: mod_security und php file upload

Post by ohgott »

Hmm, auf mod_upload bin ich auch gerade gestossen, hat da jemand erfahrung mit? Bzw weiss ob es damit geht? Und wie dann die hochgeladnen Dateien unter php zur Verfügung stehen, nachdem sie von mod_upload ausgepackt wurden?

Kunden ansprechen, klar, das hat das eine Problem beseitigt. Aber das will ich ein für allemal "ausschalten".
elch_mg
Posts: 302
Joined: 2006-01-23 19:14
Location: 41063

Re: mod_security und php file upload

Post by elch_mg »

wenn du das ausführen von PHP-Files verhindern willst, da gibt es sinnvollere Lösungen. Beispiel (Fast)CGI.
ohgott
Posts: 28
Joined: 2006-03-21 16:21

Re: mod_security und php file upload

Post by ohgott »

Könntest du das näher ausführen, bitte?
Bin ja für jeden Hinweis dankbar.
sledge0303
Posts: 695
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: mod_security und php file upload

Post by sledge0303 »

OhGott wrote:Könntest du das näher ausführen, bitte?
Bin ja für jeden Hinweis dankbar.
Du musst dir nur die Einleitung des Howtos php4/php5 FastCGI im Debianhowto durchlesen. Darin steht alles beschrieben was es damit auf sich hat. Simples Beispiel: suexec!!!
ohgott
Posts: 28
Joined: 2006-03-21 16:21

Re: mod_security und php file upload

Post by ohgott »

Ahso danke,
eine Frage noch, ist das auf Suse auch so anzuwenden, oder funktioniert es dort nicht. Oder anders?
elch_mg
Posts: 302
Joined: 2006-01-23 19:14
Location: 41063

Re: mod_security und php file upload

Post by elch_mg »

Es heisst "Debian"-Howto, oder?
ohgott
Posts: 28
Joined: 2006-03-21 16:21

Re: mod_security und php file upload

Post by ohgott »

Deshalb frage ich ja mal lieber erst...
elch_mg
Posts: 302
Joined: 2006-01-23 19:14
Location: 41063

Re: mod_security und php file upload

Post by elch_mg »

Naja, es gibt zwar (gottseidank) inzwischen einige Distributionsübergreifende Merkmale.. Aber so weit, dass sich Howtos einfach auf mehreren (nicht verwandten!) Distris umsetzten lassen, sind wir noch nicht. Wird wohl auch immer so bleiben.