Hackerboard WikiHaboBlog

[HaBo]

 
Webmaster-Security Fragen zur richtigen Serverkonfiguration oder Absicherung dynamischer Scripte gehören hier hinein.

apache vhosts und php absichern

Diskussion: apache vhosts und php absichern im Forum Webmaster-Security, in der Kategorie Security Area; heyho ihc möcht für nen kumpel bissl space auf einem vhost unter apache bereitstellen. aber wie kann ich den am ...

Antwort
Alt 01.07.09, 15:42   #1 (permalink)
Member of Honour
 
Benutzerbild von easteregg
 
Registriert seit: 14.09.07
easteregg Leistung: Pentium Ieasteregg Leistung: Pentium I
easteregg eine Nachricht über ICQ schicken
Standard apache vhosts und php absichern


heyho

ihc möcht für nen kumpel bissl space auf einem vhost unter apache bereitstellen.
aber wie kann ich den am effizientesten absichern.
also ich bruach jetzt kein hochsicherheitstrackt für den erstellen, aber ich möchte den in php zb die open_basedir setzen und sowas wie exec() und co unterbinden. ist nur die frage wie das mit möglichst wenig wiederstand geht.
kann ich nicht für den vhost extra phpflags setzen, ohne das ich ne seperate ini für den benutzer anlege?

__________________
» Flattr mich! - Wenn dir mein Beitrag geholfen hat! «
<| 2 AMD Opterons 2384@ 8x3,2ghz | Tyan S2915 | 10GB | 2x 8800GT | 8400GS | Dell 3008WFP + 2x2007FP |>
easteregg ist offline   Mit Zitat antworten
Alt 01.07.09, 16:11   #2 (permalink)
Member of Honour
 
Benutzerbild von beavisbee
 
Registriert seit: 22.02.07
beavisbee Leistung: Pentium IIIbeavisbee Leistung: Pentium IIIbeavisbee Leistung: Pentium IIIbeavisbee Leistung: Pentium III
beavisbee eine Nachricht über ICQ schicken
Standard

Gegenfrage: Wie ist denn PHP in deinem Apache eingebunden?
mod_php? cgi? fastcgi?
(übrigens - hier mal ein schöner Vergleich zwischen den Varianten: http://wiki.rootforum.de/scripting/p...php_vs_php-cgi)

ich z.B. mach das über fastcgi und hab da für jede Domain eine eigene php.ini und wenn ich wollte könnte ich sogar für jede Domain 'ne andere PHP-Version nehmen...

Wenn du bei deiner Konfiguration die Möglichkeit hast, 'ne eigene ini zu nehmen, dann mach das - ist am sichersten. mittels disable_functions kannst du in der php.ini ja einfach alles sperren, was er nicht ausführen dürfen soll und mit von dir schon genannter open_basedir-Restriction stellst du sicher, dass er nirgendwo hin kommt, wo er nicht hin kommen darf.
beavisbee ist offline   Mit Zitat antworten
   
HaBOT
 

Werbung ist gerade online    
Alt 01.07.09, 16:14   #3 (permalink)
Member of Honour
Themenstarter
 
Benutzerbild von easteregg
 
Registriert seit: 14.09.07
easteregg Leistung: Pentium Ieasteregg Leistung: Pentium I
easteregg eine Nachricht über ICQ schicken
Standard

ich hab das als apache modul eingebunden, da ja sonst ich nur den server benutze.
ich weis gar nicht ob es möglich ist , nen anderem host ne andere php.ini unterzuschieben.
das war nur eine vermutung. angenommen es geht nicht, wie kann ich dann die disable_function nutzen und ihm paar sachen verbieten ohne mich selbst einzuschränken?

kennst du vielleicht generell paar gute anleitungen wie man php mittels fastcgi bomben sicher für jeden vhost bekommt?
rein informativ wäre das wohl mal gut zu lesen, aber für mich fast etwas overkill
__________________
» Flattr mich! - Wenn dir mein Beitrag geholfen hat! «
<| 2 AMD Opterons 2384@ 8x3,2ghz | Tyan S2915 | 10GB | 2x 8800GT | 8400GS | Dell 3008WFP + 2x2007FP |>
easteregg ist offline   Mit Zitat antworten
Alt 01.07.09, 16:47   #4 (permalink)
Moderator
 
Benutzerbild von bitmuncher
 
Registriert seit: 30.09.06
bitmuncher Leistung: Opteronbitmuncher Leistung: Opteronbitmuncher Leistung: Opteronbitmuncher Leistung: Opteronbitmuncher Leistung: Opteronbitmuncher Leistung: Opteron
Standard

Du kannst in den VirtualHost-Einstellungen einfach die Werte für PHP setzen. Das geht einmal über php_admin_flag oder über PHPINIDir, womit du eine extra php.ini festlegen kannst.
__________________
Mein Blog - Mein Job - Diaspora

Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund.

Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+
bitmuncher ist gerade online   Mit Zitat antworten
Alt 01.07.09, 16:55   #5 (permalink)
Member of Honour
Themenstarter
 
Benutzerbild von easteregg
 
Registriert seit: 14.09.07
easteregg Leistung: Pentium Ieasteregg Leistung: Pentium I
easteregg eine Nachricht über ICQ schicken
Standard

super, das werd ich mal bei gelegenheit ausprobiern danke!
__________________
» Flattr mich! - Wenn dir mein Beitrag geholfen hat! «
<| 2 AMD Opterons 2384@ 8x3,2ghz | Tyan S2915 | 10GB | 2x 8800GT | 8400GS | Dell 3008WFP + 2x2007FP |>
easteregg ist offline   Mit Zitat antworten
Alt 01.07.09, 17:01   #6 (permalink)
Moderator
 
Benutzerbild von bitmuncher
 
Registriert seit: 30.09.06
bitmuncher Leistung: Opteronbitmuncher Leistung: Opteronbitmuncher Leistung: Opteronbitmuncher Leistung: Opteronbitmuncher Leistung: Opteronbitmuncher Leistung: Opteron
Standard

Wenn du nicht weisst, wie gut seine Programmierkenntnisse sind, kannst bzw. solltest du auch die TRACE- und TRACK-HTTP-Methoden im VHost deaktivieren:

Code:
   RewriteEngine on
   RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
   RewriteRule .* - [F]
__________________
Mein Blog - Mein Job - Diaspora

Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund.

Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+
bitmuncher ist gerade online   Mit Zitat antworten
Alt 01.07.09, 17:12   #7 (permalink)
 
Registriert seit: 03.03.08
Knoxx Leistung: Facit NTK
Standard

Für die Open-BaseDir-Anweisung brauchst du wahrscheinlich php_admin_value, statt php_admin_flag.

So könnte dann der vHost-Block aussehen:
Zitat:
<VirtualHost 111.111.111.111:80>
ServerAdmin webmaster@foo.bar
ServerName www.foo.bar
ServerAlias foo.bar www.foo.bar

DocumentRoot /var/www/

<Directory "/var/www">
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>

php_admin_value open_basedir /var/www/

# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn

ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log combined

# Disable TRACE-/TRACK-Method
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

</VirtualHost>
Knoxx ist offline   Mit Zitat antworten
Alt 01.07.09, 17:22   #8 (permalink)
Member of Honour
Themenstarter
 
Benutzerbild von easteregg
 
Registriert seit: 14.09.07
easteregg Leistung: Pentium Ieasteregg Leistung: Pentium I
easteregg eine Nachricht über ICQ schicken
Standard

wenn ich in der vhost config die

php_admin_value disable_functions system,exec,passthru,popen,escapeshellcmd

setze passiert aber irgendwie gar nichts.
ich hab gelesen, dass das nur in der php.ini geht :|

kann mir mal bitte jemand erklären, warum grade so eine wichtige sache nicht nochmal gesetzt werden kann?
__________________
» Flattr mich! - Wenn dir mein Beitrag geholfen hat! «
<| 2 AMD Opterons 2384@ 8x3,2ghz | Tyan S2915 | 10GB | 2x 8800GT | 8400GS | Dell 3008WFP + 2x2007FP |>
easteregg ist offline   Mit Zitat antworten
Antwort
   

Werbung ist gerade online    

[HaBo] » Security Area » Webmaster-Security » apache vhosts und php absichern
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind aus
Pingbacks sind aus
Refbacks sind aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
vhosts und https? easteregg Webmaster-Security 9 23.11.09 18:03
SVN vhosts passwortschutz weau Linux/UNIX 19 06.05.08 08:34
PHP Webanwendung absichern FreeCastle Webmaster-Security 13 06.03.08 00:08
phpMyadmin absichern Chakky Webmaster-Security 2 27.03.07 18:05
Cd absichern FloX Music- & Filmbox 0 16.08.05 17:22


1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61