Re: Security Frage - Apache

dhimmi(at)gmx.net wrote:
> Es ist immer schlecht wenn Apache irgendwo reinschreiben darf :)

Völlig richtig. Den Satz sollte man sich ausdrucken, ein-
rahmen und über's Bett hängen.

Die Security-History von PHP ist auch nicht gerade ein be-
sonders glorreiches Beispiel für sichere Software, und es
wird einem ziemlich leicht gemacht, sich in den Fuß zu
schießen. Einen Web-Server, der PHP verwendet, würde ich
erstmal per-se als unsicher einstufen, vor allem wenn man
fremde PHP-Skripte laufen läßt, die sich mehr oder weniger
der eigenen Kontrolle entziehen.

> Es müssen ja nicht unbedingt seine Scripts sein die Fehlerhaft sind. Auch
> Scripts anderer Kunden können Fehler enthalten und können auch in sein
> Verzeichnis reinschreiben, wenn es nicht in einem extra Jail läuft oder
> ähnlichem.

Ein eigenes Jail wäre schonmal eine ziemlich gute Idee.
Das begrenzt zumindest im Fall der Fälle den Schaden und
vereinfacht die Aufräumaktion.

> > > Wie würdet ihr dies loesen ?
> >
> > Mit cron und scp.
>
> würde ich auch sagen

Ja.

Es gibt mehrere Möglichkeiten, das Problem zu lösen, oder
es zumindest einzuschränken. Eine weitere besteht darin,
die fraglichen Daten in einer Datenbank abzulegen. Dann
können im Falle eines Sicherheitsbruches zwar immer noch
diese Daten manipuliert werden, aber immerhin nichts ande-
res. Davon abgesehen können in so einem Fall die Daten
eh manipuliert werden, nämlich an der Stelle, wo die PHP-
Skripte sie wieder an die Clients ausliefern.

Und dann gibt's ja auch noch suexec.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
We're sysadmins.  To us, data is a protocol-overhead.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message