Perl sicher machen

Apache, Lighttpd, nginx, Cherokee
roi
Posts: 145
Joined: 2003-04-07 09:05
Location: Esslingen am Neckar

Perl sicher machen

Post by roi » 2010-11-30 16:43

Hallo zusammen,

setze momentan eine unserer Shared Hosting Kisten neu auf. Dazu schaue ich mir im Moment ISPConfig3 an und bin an sich auch ganz an getan - natürlich muss man sich etwas einschränken zu Selbstbastellösungen, aber man hat so halt auch jede Menge weniger Stress und Zeitaufwand.

Bezüglich Perl, das wir unseren Kunden nach wie vor anbieten und von einigen auch genutzt wird, habe ich mich auf die Suche nach einer Möglichkeit gemacht, Perl "sicher zu machen", abzuschotten oder wie man das nennen will, ähnlich den Sicherheitsvorkehrungen, die man bei PHP treffen kann, z.B. open_basedir.

Auf unseren bisherigen Servern machen wir dies mit Posix ACLs, dh wir erlauben den Usern, unter denen die VHosts laufen, schlicht keinen Zugriff auf nichts, bzw so wenig wie möglich. ISPConfig3 bietet nun out-of-the-box nichts, weshalb ich mit einem Test-Perlscripts auch direkt mal die /etc/motd und eine index.html aus einem anderen Webspace angezeigt bekommen habe...

Wie macht Ihr das denn? Perl schlicht nicht mehr anbieten? Ist ja auch nicht die feine Art. Oder ist mir bei meiner Recherche etwas durch die Lappen gegangen? Oder wird einfach vorausgesetzt, dass die "interessanten" Dateien auf dem Server nicht 644 haben und somit für jeden lesbar sind? Klar, kann man machen und muss dann zukünftig sauber auf dem Server arbeiten, aber aber ist mir das wirklich sicher genug? Dazu weiss ich ja auch nicht, was ISPConfig3 eventuell alles konfiguriert und rechtemäßig anpasst...

Viele Grüße,
Roi

roi
Posts: 145
Joined: 2003-04-07 09:05
Location: Esslingen am Neckar

Re: Perl sicher machen

Post by roi » 2010-12-01 12:36

matzewe01 wrote:Der Ansatz sein Dateisystem zu härten also rwx für Jedermann zu entfernen wäre schon mal der erste Schritt.


Ja wie machst Du das denn? Oder andere hier lesende Leute? Wie wird ein Shared Webhosting Server sinnvoll (damit meine ich sowohl technisch sinnvoll wie auch zeitlich sinnvoll und nachhaltig) vor Kundeperlscripts geschützt?

Meine Posix ACL Lösung halte ich für "nett", aber eben auch schwierig nachzuhalten und aufwändig.

Viele Grüße,
Roi

User avatar
Joe User
Project Manager
Project Manager
Posts: 11599
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Perl sicher machen

Post by Joe User » 2010-12-01 13:47

PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.