Page 1 of 1
imagemagick etc. und open_basedir
Posted: 2006-10-05 15:50
by cirox
Hallo,
imagemagick und graphicksmagick sind systemweit installiert. Jeder User hat eine eigene php.ini bei verwendetem fast-cgi. openbase_dir ist auf das home-dir von php und auf den jeweiligen User-html-Ordner und noch /tmp usw. gesetzt.
Trotzdem erfolgt ein Zugriff auf /usr/bin , bzw werden die Bilder gerendert im Typo3-Install-Backend.
Warum? Ich dachte open_basedir würde das verhindern?
gruß cirox
mal sehen
Posted: 2006-10-05 16:17
by tkivelip
Ich bin mir nicht ganz sicher wie das bei Typo3 läuft, aber es ist auch möglich imagemagic über system() zu starten. Trag die Funktion mal bei "disable_functions" ein und guck ob die bedinung von imagemagick immernoch möglich ist.
Re: imagemagick etc. und open_basedir
Posted: 2006-10-05 16:41
by cirox
(exec) ist es, wenn das eingetragen wird funktioniert nichts mehr, aber eigentlich müsste doch die open_basedir Direktive greifen, oder lieg ich hier falsch. Meine disabled_functions (mal abgesehen von (exec)
Code: Select all
disable_functions = passthru,proc_open,shell_exec,system,popen
system hab ich ja sogar drin ....
eingetragen werden?, bloss ich dachte immer das genau open_basedir Zugriffe auf Dateien ausserhalb des angegebenen Verzeichnisses unterbindet.
Die open_basedir Deriktive greift ja auch als solches, wenn ich zum Beipiel da irgendwas eintrage, also einen Pfad ins "Nirvana" setze dann kann er php nicht mehr ausführen, bzw. findet bestimmte Dateien nicht.
open_basedir sieht bei mir so aus:
Code: Select all
open_basedir = "/var/www/webx/html:/var/www/webx/phptmp/:/var/www/webx/files/:/var/www/webx/atd/"
Re: imagemagick etc. und open_basedir
Posted: 2006-10-05 18:24
by lord_pinhead
Dazu gibt es eigentlich das safemode_exec_dir welches in jedem Vhost eingetragen werden kann. Danach einfach den Safemode aktivieren und die Nutzer sollten nur noch sachen aus Ihrem safemode_exec_dir ausführen können. Sobald ein exec("/sbin/wget") oder ähnliches erfolgt, sollte der Aufruf abgefangen werden. Auf einem Produktivsystem hab ich das nie laufen lassen, aber hier daheim hat alles einwandfrei geklappt. Auf den Produktivsystem hab ich IM gar nicht laufen, die Leute haben die aktuelle GD Lib mit GIF unterstützung und gut isses.
Re: imagemagick etc. und open_basedir
Posted: 2006-10-05 18:37
by cirox
hm, also produktiv solls sein, "im" wird gebraucht beziehungsweise andere tools, safe_mode = aus und bleibt auch besser aus ;-)
Könnte das mal jemand bei sich vielleicht checken, der auch IM oder GM für Typo3 oder andere Sachen braucht und ne open_basedir hat, ob die tools ausgeführt werden oder nicht. Danke!
Wofür dann überhaupt der open_basedir_quatsch, wenn man durch ein php skript dan Programme im /usr/bin Verzeichnis ausführen kann ?
Ich mein jetzt nicht das man per (exec) das wieder disablen sollte, sondern mir gehts bloss um open_basedir.
Also GD2 ist bei mir komplett drauf mit allem was dazu gehört.
danke&gruß cirox
Re: imagemagick etc. und open_basedir
Posted: 2006-10-05 20:17
by Joe User
Re: imagemagick etc. und open_basedir
Posted: 2006-10-05 20:23
by cirox
jaja genau :)
dann wäre ich auch gleich an einer anderen Stelle. Hat jemand Erfahrung hiermit und kann kurz sagen, ob dann allgegenwärtige Programme wie Typo3, Wordpress, oscommerce etc. ein Problem mit haben:
Hardening-Patch
http://www.hardened-php.net/hardening_patch.14.html
Hardening-Patch Suhosin
http://www.hardened-php.net/suhosin/index.html
Am besten beide ?
gruß cirox
Re: imagemagick etc. und open_basedir
Posted: 2006-10-05 20:44
by Roger Wilco
cirox wrote:Am besten beide ?
Nein. Suhosin ist der Nachfolger von Hardened-PHP (und übrigens kürzlich in der ersten als stabil gekennzeichneten Version herausgekommen...).
Re: imagemagick etc. und open_basedir
Posted: 2006-10-05 20:47
by cirox
alles klar, habe gerade gelesen, dass man den auch als extension installieren kann, das ist ja ideal .....
gruß cirox