Geld für Ihre Startseite!

DelphiKing · 25.03.2011, 10:57:58

Aloha,

ich habe ein Debian5-System und dort mit Apache und modPHP diverse Webseiten auf vhosts verteilt, die alle in Verzeichnissen dieser Art liegen:

/var/www/domain1.de/
/var/www/domain2.org/

Die Dateien in den Verzeichnissen gehören jeweils einem eigenen User/Group.

Entsprechend den Verzeichnissen habe ich jeweils eine vhost-Config für Apache in der Art:

Code:


1:
2:
3:
4:
<VirtualHost *:80>
    DocumentRoot /var/www/domain1.de
    […]
</VirtualHost>

Allerdings musste ich jetzt mit Schrecken feststellen, dass man zum Beispiel mit PHP und fopen() problemlos auf die Verzeichnisse anderer User zugreifen kann.
Also z.B. in /var/www/domain1.de/test.php mit fopen("/var/www/domain2.org/geheim.txt", "r") den Inhalt der fremden Datei auslesen.
Ignoriert der Apache/PHP da das DocumentRoot völlig und gestattet auf alles Zugriff, auf das er eben zugreifen kann (was ja logischerweise alle Webseiten sind)?
Warum! Und was tun!

Grüßle, flo

dahippi · 25.03.2011, 11:54:51

Mit der Option "open_basedir" kannst du den Zugriff von PHP auf beliebige Verzeichnisse beschränken:

Zitat:

Zitat von php.net

Wenn ein Skript versucht, eine Datei zu öffnen, zum Beispiel mit fopen() oder gzopen(), wird der Ort der Datei geprüft. Wenn die Datei nicht im Verzeichnisbaum, der in open_basedir angegeben ist, liegt, wird PHP die Datei nicht öffnen.

Quelle + weitere Infos: http://php.net/manual/de/ini.core.php

DelphiKing · 30.03.2011, 16:35:39

Ja, aber open_basedir ist deprecated seit PHP 5.3 (habe 5.3.3)

Danke aber für deine Antwort!

dahippi · 30.03.2011, 18:08:08

Das höre/lese ich heut' allerdings zum ersten Mal, was mich ziemlich wundert, da ich täglich mit diesen Themen zu tun habe.

Hast du irgendeine Quelle für mich, bei der ich das nachlesen kann?

Danke + Gruß

dahippi

flaschenkind · 30.03.2011, 20:43:02

Das Problem ist, dass mit mod_php alles über den Apache-User läuft und der Apache auf alles Zugriff haben muss. Man kann über den Apache somit auch auf alle anderen Dateien zugreifen, auf die der Apache Zugriff hat.
Als Abhilfe kann man PHP als CGI installieren, da dann alles als der entsprechende Benutzer ausgeführt wird und die Berechtigungen somit beachtet werden.
Eine andere Alternative wäre die Verwendung eines entsprechenden PHP-Addons, da bin ich aber auch nicht ganz auf dem Dampfer, wie es da aussieht. Es gibt da mods wie suphp-, suExec, Hardened PHP, suhosin und bestimmt noch weitere. Welche jetzt genau das bieten, was du benötigst, weiß ich nicht genau.

Das hier habe ich nach kurzem Googlen gefunden. Sieht ganz interessant aus: Klick

30.03.2011, 18:08:08	#4 (permalink)
dahippi Streber ID: 10608 Lose-Remote Reg: 21.08.2006 Beiträge: 516	Das höre/lese ich heut' allerdings zum ersten Mal, was mich ziemlich wundert, da ich täglich mit diesen Themen zu tun habe. Hast du irgendeine Quelle für mich, bei der ich das nachlesen kann? Danke + Gruß dahippi Nach Ausdrücken der Gleichheit, welche dem Positiv entsprechen, verwendet man wie. Nach Ungleichheiten hingegen, welche dem Komparativ entsprechen, wird als verwendet. Richtig: Ich bin viel schlauer als du. Falsch: Keiner von euch ist schlauer wie ich. Quelle

30.03.2011, 20:43:02	#5 (permalink)
flaschenkind Erfahrener Benutzer ID: 118459 Lose-Remote Reg: 20.04.2006 Beiträge: 4.493	Das Problem ist, dass mit mod_php alles über den Apache-User läuft und der Apache auf alles Zugriff haben muss. Man kann über den Apache somit auch auf alle anderen Dateien zugreifen, auf die der Apache Zugriff hat. Als Abhilfe kann man PHP als CGI installieren, da dann alles als der entsprechende Benutzer ausgeführt wird und die Berechtigungen somit beachtet werden. Eine andere Alternative wäre die Verwendung eines entsprechenden PHP-Addons, da bin ich aber auch nicht ganz auf dem Dampfer, wie es da aussieht. Es gibt da mods wie suphp-, suExec, Hardened PHP, suhosin und bestimmt noch weitere. Welche jetzt genau das bieten, was du benötigst, weiß ich nicht genau. Das hier habe ich nach kurzem Googlen gefunden. Sieht ganz interessant aus: Klick Viele Grüße flaschenkind

Themen-Optionen
Druckbare Version zeigen Diese Seite per E-Mail verschicken
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[XAMPP] DocumentRoot ändern	Papenburger	Scripts & Software	10	09.09.2008 17:22:22
Internetzugriff beschränken	MisterSimpson	Software/Windows	4	05.07.2008 23:00:58
Umfrage auf bestimmt User beschränken?	ut2004	Ich bin neu hier und habe eine Frage!	5	10.12.2007 19:00:06
Prozessornutzung für bestimmtes Programm beschränken	Retep	Software/Windows	3	15.10.2007 10:36:44
[apache2] PHP-Parserausfall!?	raven	Linux & Co	1	20.06.2006 23:24:38

30.03.2011, 16:35:39	#3 (permalink)
DelphiKing King with a crown ID: 46719 Lose-Remote Reg: 20.04.2006 Beiträge: 6.273	Ja, aber open_basedir ist deprecated seit PHP 5.3 (habe 5.3.3) Danke aber für deine Antwort!

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)