PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [apache] absichern



ccfritz
03.02.04, 20:52
hi all,

ich nehme an unter euch werden auch div. sysadmins div. provider etc. "herumschiwren" ;-)

habe ein frage an euch...
habe gerade bemerkt das mein server gar nicht so "sicher" ist wie er sein sollte.


habe auch bei einigen provider gerade etwas nachgesehen und bemekrte es ist ohne probleme möglich in den verzeichnissen, datein anderer user herum zu stöbern.
habe mir mal meine httpd.conf angeshen und bemerkte das das doch gar nicht gehen sollte?
habe z.b. bei einem VHost folgende nette zeile eingetragen:
php_admin_value safe_mode on

und dann setzte ich ein kleines php script ein, welches mitr das Home - verzeichnis anderer user vollständig auflistete... und wieter: ich konnte sogar die datein als selbst mittels fopen und fgets() öffnen.
da war ich mal etwas platt.

ich selbst verwende debian 3.0 (woody) inkl. sämtlicher pakete die dabei sind was webserver (apache) etc. betrifft.

kennt jemand gute links die webserver echt dicht zu machen? oder geht das nicht?

dachte vor allem das das php_admin_value safe_mode on doch das nicht zuläössst, oder irre ich mich da?
danke

Svenny
03.02.04, 20:59
Ich selbst benutze suPHP unter debian woody. ein gutes howto dazu ist unter debianhowto.de zu finden.

bin damit eigentlich recht zufrieden, man sollte nur alle daten nen chmod other - all machen

ccfritz
04.02.04, 09:42
hallo,

habe meinen lamp ebenfalls nach diesem howTo prinzip aufgesetzt, übrings ist es supa ;-)
aber dneke der springende punkt war
php_admin_value open_basedir /home/user1
in die http.d einzubauen.

was sollte noch am besten zu beachten sein? jemand ein idee?
danke...

Svenny
04.02.04, 09:51
Ich bekomm bloß immer nen

Invalid command 'php_admin_value', perhaps mis-spelled or defined by a module not included in the server configuration

ccfritz
04.02.04, 09:55
mhh, interessant.

habe diesen tipp ebenfalls von der debianhowto: http://www.debianhowto.de/howtos/de/webconfig/c_webconfig.html

`kk
04.02.04, 12:53
safe_mode auf on?
system(), exec() usw. off ?

Mehr fällt mir jetzt erstmal nicht ein.

LINUXRH7
04.02.04, 15:39
Hi @all,

<Virtualhost xxx.xxx.xxx.xxx>
...

...
###### Perl abschotten damit user nicht mehr auf fremde Daten der anderen VHosts und Domains zugreifen kann
# User user1
# Group ftpuser
# ScriptAlias /cgi-bin /var/www/user1/user1-1.tld/cgi-bin

# PHP abschotten
php_admin_value open_basedir /home/pretzlaff.info/www/
php_admin_value upload_tmp_dir /home/pretzlaff.info/www/
php_admin_value session.save_path /home/pretzlaff.info/www/
php_admin_value safe_mode on

#### in der php.ini k?nnen noch functionen einzelnd ausgeschaltet werden
# disable_functions = system,exec,passthru,popen,escapeshellcmd,shell_ex ec
</VirtualHost>

cya
LiNUXrh7

Svenny
04.02.04, 16:01
Muss doch irgendwie möglich sein, die php_admin_values auch bei php zu aktivieren, was als cgi läuft.. Oder muss ich tatsächlich wieder auf DSO zurück ?

Svenny
05.02.04, 18:10
Also ich würd ja gerne php als DSO nehmen, aber dann kann ich kein php mehr in der console benutzen.. gibts da irgendwelche zwischendinger? oder gar beides installieren und cgi dann in der console und dso im apache ?

ccfritz
05.02.04, 18:18
also ich selbst habe auf einem debian beides laufen.
wobei die rechte habe ich etwas verstärkt.
das php in der console umm div. scripte imcront zu starten etc. und sonst als modul im apache eingebunden (debian php)