Funktion exec PHP einschränken
Posted: 2007-04-14 21:58
Hallo,
für Imagemagick muss man leider die Funktion exec freischalten. Safe_mode kommt in dieser Konstellation auch nicht in Frage. Chrooted Webverzeichnisse ist mit Confixx und Co für mich schlecht realisierbar. Wenns doch geht dann wäre das die erste Frage.
open_basedir ist gesetzt. ok. Jetzt kommt einer mit ner c99 shell und kann auf dem Server durchmaschieren. Gut er kann zwar nicht in andere Verzeichnisse schreiben, aber ich will, oder besser doch, gar nicht wissen, was für ein Unsinn alles angestellt werden kann.
Jetzt wäre meine naive Überlegung ja einfach die Funktion exex ( ohne safe_mode) so einzuschränken, dass halt nur ein bin, nämlich in dem Fall imagemagick ausgeführt werden kann.
Aber ich komm da sicherheits technisch nicht weiter. Egal ob mod_security, gehärtetes PHP ( Suhosin ) oder ähnlich.
Was wäre hier der Lösungsansatz ?
PS: übrigens bringt mich hier "man sudo" auch nicht weiter .... Das soll für alle alten und neu angelegten vhost gelten. Letzen Endes wird suexec und fastcgi eingesetzt.
PS2: Suhosin , openbasedir, symlinks verboten und super imagemagick lässt sich immer noch unter /usr/bin ausführen -> versteh ich nicht
PS3: GDlib mit einkompilierter gif Unterstützung ist zu wenig, oder ? Erst Recht für Typo3
PS4: Hat hier einer Erfahrung mit einkompiliertem IM in PHP und dann der Pfadangabe bei gallery oder Typo3? Und funnzt das? Ich bin irgendwie schon beim kompilieren gescheitert .... Irgendeine lib hat glaub ich gefehlt. Für die genaue Fehlermeldung müsst ich da nochmal nachschauen.
PS5: Wie sichere ich mit mod_security mein open_basedir ab? Man kann ja alles denien und nur bestimmt Funktionen erlauben, aber genau hier steh ich auf dem Schlauch. Welche bestimmten Funktionen erlauben?
gruß cirox
für Imagemagick muss man leider die Funktion exec freischalten. Safe_mode kommt in dieser Konstellation auch nicht in Frage. Chrooted Webverzeichnisse ist mit Confixx und Co für mich schlecht realisierbar. Wenns doch geht dann wäre das die erste Frage.
open_basedir ist gesetzt. ok. Jetzt kommt einer mit ner c99 shell und kann auf dem Server durchmaschieren. Gut er kann zwar nicht in andere Verzeichnisse schreiben, aber ich will, oder besser doch, gar nicht wissen, was für ein Unsinn alles angestellt werden kann.
Jetzt wäre meine naive Überlegung ja einfach die Funktion exex ( ohne safe_mode) so einzuschränken, dass halt nur ein bin, nämlich in dem Fall imagemagick ausgeführt werden kann.
Aber ich komm da sicherheits technisch nicht weiter. Egal ob mod_security, gehärtetes PHP ( Suhosin ) oder ähnlich.
Was wäre hier der Lösungsansatz ?
PS: übrigens bringt mich hier "man sudo" auch nicht weiter .... Das soll für alle alten und neu angelegten vhost gelten. Letzen Endes wird suexec und fastcgi eingesetzt.
PS2: Suhosin , openbasedir, symlinks verboten und super imagemagick lässt sich immer noch unter /usr/bin ausführen -> versteh ich nicht
PS3: GDlib mit einkompilierter gif Unterstützung ist zu wenig, oder ? Erst Recht für Typo3
PS4: Hat hier einer Erfahrung mit einkompiliertem IM in PHP und dann der Pfadangabe bei gallery oder Typo3? Und funnzt das? Ich bin irgendwie schon beim kompilieren gescheitert .... Irgendeine lib hat glaub ich gefehlt. Für die genaue Fehlermeldung müsst ich da nochmal nachschauen.
PS5: Wie sichere ich mit mod_security mein open_basedir ab? Man kann ja alles denien und nur bestimmt Funktionen erlauben, aber genau hier steh ich auf dem Schlauch. Welche bestimmten Funktionen erlauben?
gruß cirox