Hallo,
Was darf den Usern auf einem WWW-Server bekanntgegeben werden, ohne die Sicherheit des Servers zu gefährden.

Falls Perl/PHP/ASP als Scripte ausgeführt werden dürfen, wird vielfach der absolute Pfad benötigt.
Dies kann als Servervariable ausgelesen werden, in vielen Scripten muss aber der absolute Pfad direkt angegeben werden.

Meine Frage:

Soll ich als verantwortlicher Admin meinen WWW-Benutzern die absolute Pfadangaben vom virtuellen Serverplatz zusammen mit den Zugangsdaten (FTP) zum Server bekannt geben?

Ist diese Bekanntgabe absolut bedenkenlos ?

Was sagt Ihr dazu ??

Pet

meiner Meinung nach kannst du den absoluten Pfad schon mit angeben, ich denke, wenn die Berechtigungen richtig gestetzt sind, kannst du das schon freigeben, ausßerdem kann man den absoluten Pfad wo z.B. eine PHP-Datei leigt auch rausbekommen.
Ich glaube mit
system("ls -al");
oder einfach system("echo $pwd");

Aber lasse mich auch gern was anderes belehren, wenn ich falsch liege.


Gruss
Jonas

Bei PHP kannst du mit phpinfo() sowieso sämtliche relevanten Serverdaten inklusive Root Verzeichnis für den aktuellen (Virtuellen-) Host herausfinden, von daher kannst du das dem User gar nicht verheimlichen....

Es muss natürlich nichts 'verheimlicht' werden (:
z.B. $ENV mit Perl liest ebenfalls alle Servervariablen aus.
Es gibt noch andere einschlägige Wege an die Daten zu kommen, was ja nicht heissen muss, dass ich diese 'frei serviere'.

Betreff Serverkonfiguration:
Ich fahre nicht in einer user-chroot() Umgebung.
Also ist die chroot() des Users auch die des WWW-Servers.
Mit suexec schütze ich das Ausführen von Scripts.
PHP ist mit basedir und safemod zu.
Ansonsten Standardkonfiguration unter RedHat mit den üblichen Verzeichnisrechten.

Generell sollten bekanntlich aus Sicherheitsgründen (DOS-Attacken u.v.m.), nur eingeschränkte Informationen über den Server bekanntgegeben werden.

... und genau hier stellt sich jetzt die Frage, ob die Angaben über Verzeichnistrukturen (Document_Root) bereits ein Risiko darstellen oder nicht.

Würdest Du als verantwortlicher Admin diese Daten also sofort uneingeschränkt (und damit ohne Bedenken) unaufgefordert zusammen mit den User-Benutzerdaten (FTP) zur Verfügung stellen ?
(Volumen pro Tag vielleicht 10-20 neue WWW-User)
... um damit z.B. Rückfragen (Support) zu vermeiden.

Soll ich die also 'absolut bedenkenlos' ausliefern ?

Pet

Tag,

1&1 stellt in ihrem FAQ sogar selbst ein script zur verfügung, mit welchem man den docroot auslesen kann, und die sollten eigentlich wissen was sie tun. ;)

Auch wenn die 1&1 das macht, muss das ja nicht heissen, dass das der richitge Weg ist, nur weil 1&1 eine führende Position einnimmt.
Microsoft nimmt auch eine führende Position ein. Ist das Sicherheitsvorgehen da auch so bedenkenlos :confused:

Dieser Beitrag ist übrigens nur ein Diskussionsthema gedacht.

Meine eigene Meinung dazu ist übrigens die, dass auch ich die Daten tendenziell zur Verfügung stellen würde.
Durch kontroverse Diskussionen im eigenen Betrieb kamen wir auf keinen gemeinsamen Nenner.

Ein Argument das noch vorgebracht wurde ist das :

Wenn ein DAU, der einfach mal schnell Scripte auf dem Server ausführt, und diese NUR desswegen ausführt, weil er gerade die notwendigen Daten eben hat (Spielerei), und damit den Serverbetrieb beinträchtigt (lahmlegt), ist unter Umständen dieser eine Fall schon einer zu viel.

pet

Is ja sicher richtig, aber wenn das ne große Sicherheitslücke währe, dann könnte 1&1 seinen Serverbetrieb gleich einstellen, wenn sie diese Information jedem in die Hand drücken.

Bei Microsoft nimmt man halt die Sicherheitslücken in kauf, weil Windoof halt n schönes GUI hat und von jedem DAU benutzt werden kann.

Dem DAU wird dadurch ja nicht die möglichkeit gegeben Scripte auszuführen die zur verfügung stehen, sondern nur selbst welche zu schreiben bzw. Scipte von anderen zum laufen zu bringen, die muss er ja erstma haben.