© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Mon, 2005-05-09 at 14:24 +0200, Oliver Brandmueller wrote:
> Hallo.
>
> On Mon, May 09, 2005 at 01:45:10PM +0200, Bernd wrote:
> > Sorry fürs OT, aber ich nehme mal an das könnte mehrere interessieren.
> >
> > Auf meinem kleinen, feinen, privaten Webserver hab ich neben meiner
> > Homepage auch die einiger Kollegen bzw von Vereinen, bei denen ich
> > Mitglied bin gehostet. Funktionierte immer ganz gut, aber nachdem ich
> > mir vor kurzem mal genauer angeschaut habe was die Leute so aufführen
> > kann ich nicht mehr ruhig schlafen :-)
> >
> > Von alten bzw riskanten phpBB Installationen über User die in PHP
> > vogelwild Files includen dass man ohne weiteres auch
> > auf ../../../../etc/xxx zugreifen kann bis zu Bekannten die Typo3
> > installieren (wollten) ist alles dabei.
> >
> > Ich muss auch gestehen, dass ich nie wirklich viel Wert auf
> > Einstellungen wie register_globals, safe_mode, ... in PHP gelegt habe,
> > aber angesichts den aktuellen Umständen muss ich das wohl zukünfitg tun.
> >
> > Gibt es außer den Einstellungen in PHP weitere Dinge die ich beachten
> > muss? Ein Apache chroot bringt mir in diesen Fällen nicht viel oder?
> > Kann ich User irgendwie in ihr jeweiliges home einsperren damit zB eine
> > fehlerhafte phpBB Installation nur sie selbst betrifft, nicht aber
> > andere?
>
> Nun, Du solltest hier trennen - ein bischen zumindest.
>
> Das eine - und sicher das wichtigere - ist die Sicherheit des Systems an
> sich. Das heißt, der Apache läuft brav unter einem eigenen User (www
> oder wie der auch heißen mag), dieser User sollte keinerlei sonstige
> Zugriffsrechte auf dem System haben (keine Shell, keinen schreibenden
> Zugang zu den Konfigurationsdaten etc.). Dann kann es zwar im Extremfall
> noch immer Lüccken geben, womit jemand Dinge auf dem System ausführen
> kann, aber die Gefahr ist weitgehend minimiert.
>
> Das andere ist die Sicherheit der Webpräsenzen. Hier hast Du ja ein paar
> wichtige Dinge bereits angesprochen, wie zum Beispiel den safe_mode und
> register_globals bei PHP.
>
> Du kannst jetzt noch anfangen, mit suPHP (in den ports) und suEXEC (teil
> von Apache) verschiedene Präsenzen unter verschiedenen User-IDs
> auszuführen, so daß selbst, wenn eine unsichere Seite gehackt wird, dies
> zunächst einmal nichts sonst betrifft.
>
> Genügende Resourcen vorausgesetzt, kannst Du natürlich für jeden User
> einen echten eigenen Apache unter seiner user ID laufen lassen und wenn
> Du das ganze noch weiter sichern willst, dann kriegt jede Präsenz ihr
> eigenes Jail. Dann brauchst Du ggf. noch einen Squid oder einen als
> Proxy agierenden Apache, der die verschiedenen internen Apaches dann
> wieder unter einer IP namebased zusammenführt.
>
>
> Grundsätzlich solltest Du versuchen, Deine Benutzer für das Thema zu
> sensibilisieren und ggf. mit Konsequenzen drohen, falls dort nicht in
> einem zumutbaren Rahmen auf den Einsatz aktueller/ungefährdeter
> Versionen geachtet wird.
Danke für die Tipps!
Das mit suPHP werde ich mir gleich mal genauer anschauen.
Meine Angst geht eben dahin dass die User ungewollt unsicheren PHP Code
auf meinen Server kopieren oder mit nicht aktuellen PHP Scripts die
anderen User gefährden.
Ressourcen wären genug vorhanden, damit es für die paar User einen
eigenen Apache geben könnte. Das mit den Jails wäre mir dann doch wieder
zu aufwendig.
Die User zu sensibilisieren habe ich auch vor, aber ich will trotzdem
die Kontrolle darüber haben falls sie mal nicht das tun sollten was ich
von ihnen erwarte ;-)
Danke,
lg Bernd
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 09 May 2005 - 15:42:32 CEST