suPHP und php.ini im Webspace

Apache, Lighttpd, nginx, Cherokee
jabba
Posts: 33
Joined: 2006-08-31 01:55

suPHP und php.ini im Webspace

Post by jabba »

N'abend

Ich nutze auf Debian 3.1 den Apache 2 und das suPHP der Distribution.
Funktioniert auch alles (eigentlich) prächtig.

Nun habe ich festgestellt, das man die vom admin vorgegebene php-Konfiguration mit selbst erzeugten Dateien "php.ini" in einem Verzeichnis seines Webspaces komplett ändern kann. Z.B. kann man den safemode deaktivieren und anderes. Das fatale ist, wenn in so einer php.ini nur eine Zeile drinsteht, dann werden auch alle nicht definitiv gesetzten Konfigurationsparameter geändert. Scheinbar auf irgendwelche völlig unsicheren Defaultwerte.

Frage:
Wie kann ich es als admin verhindern, das bei suPHP diese php.ini-Dateien im Webspace ausgewertet werden.
cirox
Posts: 212
Joined: 2006-05-08 23:20
Location: Berlin

Re: suPHP und php.ini im Webspace

Post by cirox »

Jabba wrote:N'abend

Ich nutze auf Debian 3.1 den Apache 2 und das suPHP der Distribution.
Funktioniert auch alles (eigentlich) prächtig.
na anscheinend ja überhaupt nicht .....

also ehrlich gesagt ich versteh nur Bahnhof.
Wo hast Du die php.ini?
Zufälligerweise im webroot, also da gehört sie definitiv nicht hin.

chown root:root

gruß cirox
jabba
Posts: 33
Joined: 2006-08-31 01:55

Re: suPHP und php.ini im Webspace

Post by jabba »

cirox wrote:
Jabba wrote:nhof.
Wo hast Du die php.ini?
Zufälligerweise im webroot, also da gehört sie definitiv nicht hin.
Nein, selbstverständlich die die globale php.ini nicht im Webroot, sondern unter /etc/php...

Bei suPHP können die Nutzer eines Webs via ftp eigene php.ini-Dateien hochladen, welche dann für das jeweilige Verzeichnis die dort eingestellten Einstellungen übernehmen. Das wirkt nicht rekursiv, sondern eben nur für dieses Verzeichnis.
Das ist ein bekanntes Feature bei suPHP und prinzipiell auch nützlich.

Ich möchte es dennoch verbieten.
Daher die Frage: Gibt es eine Möglichkeit die Verarbeitung solcher php.ini's zu deaktivieren?
cirox
Posts: 212
Joined: 2006-05-08 23:20
Location: Berlin

Re: suPHP und php.ini im Webspace

Post by cirox »

Hallo,

also ich kenn suphp, aber meine user dürfennatürlich nicht die php.ini ändern. Mal davon abgesehen, dass fast-cgi besser ist, kannst Du doch die php.ini irgendwo im System verstecken.

gruß cirox
jabba
Posts: 33
Joined: 2006-08-31 01:55

Re: suPHP und php.ini im Webspace

Post by jabba »

cirox wrote:Hallo,

also ich kenn suphp, aber meine user dürfennatürlich nicht die php.ini ändern. Mal davon abgesehen, dass fast-cgi besser ist, kannst Du doch die php.ini irgendwo im System verstecken.

gruß cirox
Liest Du eigentlich was ich schreibe?
cirox
Posts: 212
Joined: 2006-05-08 23:20
Location: Berlin

Re: suPHP und php.ini im Webspace

Post by cirox »

Hallo,

jetzt ja .... ehrlich gesagt ist mir das neu, daß ein user einfach ne php.ini hochlädt und das dann für das Verzeichnis gilt, also so wie ne ./htacess. Bei ner ./htaccess kann an das ja pro vhost einstellen, was überschrieben werden darf und was nicht mit "Options ...".

Ich hab mal geschaut unter /etc/apache2/mods-available.... und in der suphp.conf unter /etc, aber nichts gesehen.

man suphp :)

gruß cirox