cane
24.11.04, 11:59
Hallo @all,
ich werde in der nächsten Zeit die Webserver-Umgebung eines Hosters absichern. Gehen wir mal von ca. 1000 Kunden aus die alle PHP nutzen und in seltenen Fällen auch .cgi.
Erstmal möchte ich allen Kunden den FTP/SSH Zugang wegnehmen und in einen scp-only-Zugang verwandeln. Dumme Frage: Die .php Scripte sollten doch normal weiterfunktionieren, oder?
Mit PHP safe_mod schieße ich mir ja selber ins Bein da dann von PHP-Scripten erzeugte Dateien (z.B. Gästebücher) nicht mehr verwendet werden können.
open_basedir finde ich da wesentlich sinnvoller, leider lassen sich damit die Systemfunktionen von PHP (z.B. exec) nicht einschränken.
Das müßte wiederum über disable_functions möglich sein.
Die Frage ist ob ich disable_functions global oder userspezifisch setzen kann?
Einige User müssen auf diverse Dateien zugreife können...
Der session.save_path müßte auch pro User angepasst werden, oder?
Dann habe ich noch einen netten PHP-Patch gefunden der mir die ganze Arbeit vielleicht eventuell abnehmen könnte: http://titov.net/safemodepatch/
Hat jemand Erfahrungen mit diesem Patch?
Wie würdet ihr eine solche Umgebung vernünftig absichern?
ich werde in der nächsten Zeit die Webserver-Umgebung eines Hosters absichern. Gehen wir mal von ca. 1000 Kunden aus die alle PHP nutzen und in seltenen Fällen auch .cgi.
Erstmal möchte ich allen Kunden den FTP/SSH Zugang wegnehmen und in einen scp-only-Zugang verwandeln. Dumme Frage: Die .php Scripte sollten doch normal weiterfunktionieren, oder?
Mit PHP safe_mod schieße ich mir ja selber ins Bein da dann von PHP-Scripten erzeugte Dateien (z.B. Gästebücher) nicht mehr verwendet werden können.
open_basedir finde ich da wesentlich sinnvoller, leider lassen sich damit die Systemfunktionen von PHP (z.B. exec) nicht einschränken.
Das müßte wiederum über disable_functions möglich sein.
Die Frage ist ob ich disable_functions global oder userspezifisch setzen kann?
Einige User müssen auf diverse Dateien zugreife können...
Der session.save_path müßte auch pro User angepasst werden, oder?
Dann habe ich noch einen netten PHP-Patch gefunden der mir die ganze Arbeit vielleicht eventuell abnehmen könnte: http://titov.net/safemodepatch/
Hat jemand Erfahrungen mit diesem Patch?
Wie würdet ihr eine solche Umgebung vernünftig absichern?