© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Mo, 9.05.2005, 13:45, Bernd sagte:
> Hallo alle!
>
Hallo Bernd,
> Sorry fürs OT, aber ich nehme mal an das könnte mehrere interessieren.
>
das ist schon ziemlich dolle OT ;-)
> Auf meinem kleinen, feinen, privaten Webserver hab ich neben meiner
> Homepage auch die einiger Kollegen bzw von Vereinen, bei denen ich
> Mitglied bin gehostet. Funktionierte immer ganz gut, aber nachdem ich
> mir vor kurzem mal genauer angeschaut habe was die Leute so aufführen
> kann ich nicht mehr ruhig schlafen :-)
>
Haben die Leute, die Ihre Sachen bei dir mithosten etwa shellzugriff ?
> Von alten bzw riskanten phpBB Installationen über User die in PHP
> vogelwild Files includen dass man ohne weiteres auch
> auf ../../../../etc/xxx zugreifen kann bis zu Bekannten die Typo3
> installieren (wollten) ist alles dabei.
>
das ist gruselig.
> Ich muss auch gestehen, dass ich nie wirklich viel Wert auf
> Einstellungen wie register_globals, safe_mode, ... in PHP gelegt habe,
> aber angesichts den aktuellen Umständen muss ich das wohl zukünfitg tun.
>
Da PHP sowieso eine wandelnde Sicherheitslücke ist, solltest du wissen,
was du dort konfigurierst und mit Hilfe von www.freshports.org durchaus
dich auf dem Laufenden halten, wann es mal wieder ein Update gibt ;)
> Gibt es außer den Einstellungen in PHP weitere Dinge die ich beachten
> muss? Ein Apache chroot bringt mir in diesen Fällen nicht viel oder?
Du hast uns leider nicht gesagt, was die anderen User wirklich auf deinem
Server machen ?
Ich würde zumindest niemanden Shellzugriff geben. Files uploaden geht
sicherlich auch anders, und wenn es durch eine scp only shell ist.
Aber erzähl doch erstmal, was die "anderen" auf deinem Server wollen, dann
können wir dir vielleicht sagen, wie du deine Konfiguration sicher
bekommst.
> Kann ich User irgendwie in ihr jeweiliges home einsperren damit zB eine
> fehlerhafte phpBB Installation nur sie selbst betrifft, nicht aber
> andere?
>
Das ginge. Die Frage bleibt: Was hast du eigentlich vor ;)
Hoffentlich hat nicht jeder dieser User schon rootrechte bei dir ...
Nur so ein paar Denkanstöße:
- public_html im Apachen aktivieren
- User nur mit scp ausstatten, und Zugriff nur auf das public_html
Verzeichnis.
- Wünsche über neue Programme (phpBB, blog, ...) nur über deinen Tisch, du
machst dann die Installation via /usr/ports
- die installierten Programme (apache, php ...) immer aktuell halten
- Packet Filter der von aussen nur Port 22, 80 und 443 zulässt, es sei
denn dein Server ist auch als MX für eine Domain eingetragen. Dann halt
noch Port 25 auf.
Beste Grüße,
Marian
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 09 May 2005 - 14:28:34 CEST