Webserver & Sicherheit ?!

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
theepoch
Posts: 11
Joined: 2006-04-16 00:21
Location: Solingen

Webserver & Sicherheit ?!

Post by theepoch » 2006-09-02 12:21

Hallo Forum,

habe mittlerweile das HowTo "Exim4, vexim2, Spam/Virenschutz, Courier-POP3/IMAP, Mailman" von http://www.debianhowto.de ("http://www.debianhowto.de/doku.php/de:h ... er_mailman") ausgesucht um damit zu arbeiten.

Habe nur jetzt eine Frage was die Sicherheit angeht?!

Im vexim Web Frontend liegt eine Datei "variables.php" in der u. a. das Passwort für die MySQL Tabelle hinterlegt wird. Da die Rechte wegen des Web aber auf 0644 kann ja jeder "other" die Datei auslesen und so das MySQL Passwort ablesen.
Da ich mal gelesen habe, dass der Webserver immer einen Zugriff von anderen erlauben muss, um die Datei zu nutzen stehe ich jetzt auf dem Schlauch, weil ich natürlich nicht wollte, dass jemand so in der SQL Tab rumpfuschen kann. Ein Test in dem ich nur dem user Leserecht gegeben habe, brachte dann auch ne Fehlermeldung in der Web GUI hervor!

Hat einer ne Idee?

THX

grandcat
Posts: 104
Joined: 2006-08-15 12:26
Location: Bayern

Re: Webserver & Sicherheit ?!

Post by grandcat » 2006-09-02 13:33

Soweit ich weiß werden "*.php"-Dateien bei entsprechender Konfiguration des Apache immer erst ausgeführt und daraus eine HTML-Seite erstellt. Da aber in der PHP-Datei nur Variablen bestimmt werden und nicht mit "echo" oder ähnlichem gearbeitet wird, ist es nicht möglich, die Werte auszulesen, da im Normalfall ein leeres Dokument an den Client übertragen wird. :wink:

theepoch
Posts: 11
Joined: 2006-04-16 00:21
Location: Solingen

Re: Webserver & Sicherheit ?!

Post by theepoch » 2006-09-03 00:45

Ja das ist klar!

Was mache ich mit Zugriffen direkt auf die Konsole?
Das macht mir etwas Sorgen...

Greetz

duergner
RSAC
Posts: 976
Joined: 2003-08-20 11:30
Location: Pittsburgh, PA, USA

Re: Webserver & Sicherheit ?!

Post by duergner » 2006-09-03 03:37

Wenn du Konsolennutzer hast dann musst du dir ein anderes Sicherheitskonzept ueberlegen. PHP z.B. nicht mehr als mod_php laufen lassen, sondern mittels suPHP und suExec.