imagemagick etc. und open_basedir

Apache, Lighttpd, nginx, Cherokee
cirox
Posts: 212
Joined: 2006-05-08 23:20
Location: Berlin

imagemagick etc. und open_basedir

Post by cirox »

Hallo,

imagemagick und graphicksmagick sind systemweit installiert. Jeder User hat eine eigene php.ini bei verwendetem fast-cgi. openbase_dir ist auf das home-dir von php und auf den jeweiligen User-html-Ordner und noch /tmp usw. gesetzt.

Trotzdem erfolgt ein Zugriff auf /usr/bin , bzw werden die Bilder gerendert im Typo3-Install-Backend.

Warum? Ich dachte open_basedir würde das verhindern?

gruß cirox
tkivelip
Posts: 15
Joined: 2006-06-25 14:16
Location: Bonn

mal sehen

Post by tkivelip »

Ich bin mir nicht ganz sicher wie das bei Typo3 läuft, aber es ist auch möglich imagemagic über system() zu starten. Trag die Funktion mal bei "disable_functions" ein und guck ob die bedinung von imagemagick immernoch möglich ist.
cirox
Posts: 212
Joined: 2006-05-08 23:20
Location: Berlin

Re: imagemagick etc. und open_basedir

Post by cirox »

(exec) ist es, wenn das eingetragen wird funktioniert nichts mehr, aber eigentlich müsste doch die open_basedir Direktive greifen, oder lieg ich hier falsch. Meine disabled_functions (mal abgesehen von (exec)

Code: Select all

disable_functions = passthru,proc_open,shell_exec,system,popen
system hab ich ja sogar drin ....

eingetragen werden?, bloss ich dachte immer das genau open_basedir Zugriffe auf Dateien ausserhalb des angegebenen Verzeichnisses unterbindet.

Die open_basedir Deriktive greift ja auch als solches, wenn ich zum Beipiel da irgendwas eintrage, also einen Pfad ins "Nirvana" setze dann kann er php nicht mehr ausführen, bzw. findet bestimmte Dateien nicht.

open_basedir sieht bei mir so aus:

Code: Select all

open_basedir = "/var/www/webx/html:/var/www/webx/phptmp/:/var/www/webx/files/:/var/www/webx/atd/"
lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: imagemagick etc. und open_basedir

Post by lord_pinhead »

Dazu gibt es eigentlich das safemode_exec_dir welches in jedem Vhost eingetragen werden kann. Danach einfach den Safemode aktivieren und die Nutzer sollten nur noch sachen aus Ihrem safemode_exec_dir ausführen können. Sobald ein exec("/sbin/wget") oder ähnliches erfolgt, sollte der Aufruf abgefangen werden. Auf einem Produktivsystem hab ich das nie laufen lassen, aber hier daheim hat alles einwandfrei geklappt. Auf den Produktivsystem hab ich IM gar nicht laufen, die Leute haben die aktuelle GD Lib mit GIF unterstützung und gut isses.
cirox
Posts: 212
Joined: 2006-05-08 23:20
Location: Berlin

Re: imagemagick etc. und open_basedir

Post by cirox »

hm, also produktiv solls sein, "im" wird gebraucht beziehungsweise andere tools, safe_mode = aus und bleibt auch besser aus ;-)

Könnte das mal jemand bei sich vielleicht checken, der auch IM oder GM für Typo3 oder andere Sachen braucht und ne open_basedir hat, ob die tools ausgeführt werden oder nicht. Danke!

Wofür dann überhaupt der open_basedir_quatsch, wenn man durch ein php skript dan Programme im /usr/bin Verzeichnis ausführen kann ?

Ich mein jetzt nicht das man per (exec) das wieder disablen sollte, sondern mir gehts bloss um open_basedir.

Also GD2 ist bei mir komplett drauf mit allem was dazu gehört.

danke&gruß cirox
User avatar
Joe User
Project Manager
Project Manager
Posts: 11165
Joined: 2003-02-27 01:00
Location: Hamburg

Re: imagemagick etc. und open_basedir

Post by Joe User »

PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
cirox
Posts: 212
Joined: 2006-05-08 23:20
Location: Berlin

Re: imagemagick etc. und open_basedir

Post by cirox »

jaja genau :)

dann wäre ich auch gleich an einer anderen Stelle. Hat jemand Erfahrung hiermit und kann kurz sagen, ob dann allgegenwärtige Programme wie Typo3, Wordpress, oscommerce etc. ein Problem mit haben:

Hardening-Patch
http://www.hardened-php.net/hardening_patch.14.html

Hardening-Patch Suhosin
http://www.hardened-php.net/suhosin/index.html

Am besten beide ?

gruß cirox
Roger Wilco
Posts: 5923
Joined: 2004-05-23 12:53

Re: imagemagick etc. und open_basedir

Post by Roger Wilco »

cirox wrote:Am besten beide ?
Nein. Suhosin ist der Nachfolger von Hardened-PHP (und übrigens kürzlich in der ersten als stabil gekennzeichneten Version herausgekommen...).
cirox
Posts: 212
Joined: 2006-05-08 23:20
Location: Berlin

Re: imagemagick etc. und open_basedir

Post by cirox »

alles klar, habe gerade gelesen, dass man den auch als extension installieren kann, das ist ja ideal .....

gruß cirox