[HaBo]

easteregg · 01.07.09, 15:42

heyho

ihc möcht für nen kumpel bissl space auf einem vhost unter apache bereitstellen.
aber wie kann ich den am effizientesten absichern.
also ich bruach jetzt kein hochsicherheitstrackt für den erstellen, aber ich möchte den in php zb die open_basedir setzen und sowas wie exec() und co unterbinden. ist nur die frage wie das mit möglichst wenig wiederstand geht.
kann ich nicht für den vhost extra phpflags setzen, ohne das ich ne seperate ini für den benutzer anlege?

beavisbee · 01.07.09, 16:11

Gegenfrage: Wie ist denn PHP in deinem Apache eingebunden?
mod_php? cgi? fastcgi?
(übrigens - hier mal ein schöner Vergleich zwischen den Varianten: http://wiki.rootforum.de/scripting/p...php_vs_php-cgi)

ich z.B. mach das über fastcgi und hab da für jede Domain eine eigene php.ini und wenn ich wollte könnte ich sogar für jede Domain 'ne andere PHP-Version nehmen...

Wenn du bei deiner Konfiguration die Möglichkeit hast, 'ne eigene ini zu nehmen, dann mach das - ist am sichersten. mittels disable_functions kannst du in der php.ini ja einfach alles sperren, was er nicht ausführen dürfen soll und mit von dir schon genannter open_basedir-Restriction stellst du sicher, dass er nirgendwo hin kommt, wo er nicht hin kommen darf.

easteregg · 01.07.09, 16:14

ich hab das als apache modul eingebunden, da ja sonst ich nur den server benutze.
ich weis gar nicht ob es möglich ist , nen anderem host ne andere php.ini unterzuschieben.
das war nur eine vermutung. angenommen es geht nicht, wie kann ich dann die disable_function nutzen und ihm paar sachen verbieten ohne mich selbst einzuschränken?

kennst du vielleicht generell paar gute anleitungen wie man php mittels fastcgi bomben sicher für jeden vhost bekommt?
rein informativ wäre das wohl mal gut zu lesen, aber für mich fast etwas overkill

**bitmuncher** · 01.07.09, 16:47

Du kannst in den VirtualHost-Einstellungen einfach die Werte für PHP setzen. Das geht einmal über php_admin_flag oder über PHPINIDir, womit du eine extra php.ini festlegen kannst.

easteregg · 01.07.09, 16:55

super, das werd ich mal bei gelegenheit ausprobiern

danke!

**bitmuncher** · 01.07.09, 17:01

Wenn du nicht weisst, wie gut seine Programmierkenntnisse sind, kannst bzw. solltest du auch die TRACE- und TRACK-HTTP-Methoden im VHost deaktivieren:

Code:

   RewriteEngine on
   RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
   RewriteRule .* - [F]

Knoxx · 01.07.09, 17:12

Für die Open-BaseDir-Anweisung brauchst du wahrscheinlich php_admin_value, statt php_admin_flag.

So könnte dann der vHost-Block aussehen:

Zitat:

<VirtualHost 111.111.111.111:80>
ServerAdmin webmaster@foo.bar
ServerName www.foo.bar
ServerAlias foo.bar www.foo.bar

DocumentRoot /var/www/

<Directory "/var/www">
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>

php_admin_value open_basedir /var/www/

# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn

ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log combined

# Disable TRACE-/TRACK-Method
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

</VirtualHost>

easteregg · 01.07.09, 17:22

wenn ich in der vhost config die

php_admin_value disable_functions system,exec,passthru,popen,escapeshellcmd

setze passiert aber irgendwie gar nichts.
ich hab gelesen, dass das nur in der php.ini geht :|

kann mir mal bitte jemand erklären, warum grade so eine wichtige sache nicht nochmal gesetzt werden kann?

01.07.09, 15:42	#1 (permalink)
easteregg Registriert seit: 14.09.07 Karma: 32	apache vhosts und php absichern heyho ihc möcht für nen kumpel bissl space auf einem vhost unter apache bereitstellen. aber wie kann ich den am effizientesten absichern. also ich bruach jetzt kein hochsicherheitstrackt für den erstellen, aber ich möchte den in php zb die open_basedir setzen und sowas wie exec() und co unterbinden. ist nur die frage wie das mit möglichst wenig wiederstand geht. kann ich nicht für den vhost extra phpflags setzen, ohne das ich ne seperate ini für den benutzer anlege? __________________ <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB 667REG ECC Ram \| 2x Nvidia 8800GT \| Nvidia 8400GS \| Maxtor Atlas II 15K \|>

01.07.09, 16:14	#3 (permalink)
easteregg Themenstarter Registriert seit: 14.09.07 Karma: 32	ich hab das als apache modul eingebunden, da ja sonst ich nur den server benutze. ich weis gar nicht ob es möglich ist , nen anderem host ne andere php.ini unterzuschieben. das war nur eine vermutung. angenommen es geht nicht, wie kann ich dann die disable_function nutzen und ihm paar sachen verbieten ohne mich selbst einzuschränken? kennst du vielleicht generell paar gute anleitungen wie man php mittels fastcgi bomben sicher für jeden vhost bekommt? rein informativ wäre das wohl mal gut zu lesen, aber für mich fast etwas overkill __________________ <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB 667REG ECC Ram \| 2x Nvidia 8800GT \| Nvidia 8400GS \| Maxtor Atlas II 15K \|>

01.07.09, 16:47	#4 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Karma: 50	Du kannst in den VirtualHost-Einstellungen einfach die Werte für PHP setzen. Das geht einmal über php_admin_flag oder über PHPINIDir, womit du eine extra php.ini festlegen kannst. __________________ Mein Blog - Mein Status Neue Beiträge im Habo via Twitter Das Habo auf Facebook

01.07.09, 16:55	#5 (permalink)
easteregg Themenstarter Registriert seit: 14.09.07 Karma: 32	super, das werd ich mal bei gelegenheit ausprobiern danke! __________________ <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB 667REG ECC Ram \| 2x Nvidia 8800GT \| Nvidia 8400GS \| Maxtor Atlas II 15K \|>

01.07.09, 17:01	#6 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Karma: 50	Wenn du nicht weisst, wie gut seine Programmierkenntnisse sind, kannst bzw. solltest du auch die TRACE- und TRACK-HTTP-Methoden im VHost deaktivieren: Code: RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE\|TRACK) RewriteRule .* - [F] __________________ Mein Blog - Mein Status Neue Beiträge im Habo via Twitter Das Habo auf Facebook

01.07.09, 16:11	#2 (permalink)
beavisbee Member of Honour Registriert seit: 22.02.07 Karma: 37	Gegenfrage: Wie ist denn PHP in deinem Apache eingebunden? mod_php? cgi? fastcgi? (übrigens - hier mal ein schöner Vergleich zwischen den Varianten: http://wiki.rootforum.de/scripting/p...php_vs_php-cgi) ich z.B. mach das über fastcgi und hab da für jede Domain eine eigene php.ini und wenn ich wollte könnte ich sogar für jede Domain 'ne andere PHP-Version nehmen... Wenn du bei deiner Konfiguration die Möglichkeit hast, 'ne eigene ini zu nehmen, dann mach das - ist am sichersten. mittels disable_functions kannst du in der php.ini ja einfach alles sperren, was er nicht ausführen dürfen soll und mit von dir schon genannter open_basedir-Restriction stellst du sicher, dass er nirgendwo hin kommt, wo er nicht hin kommen darf.

01.07.09, 17:22	#8 (permalink)
easteregg Themenstarter Registriert seit: 14.09.07 Karma: 32	wenn ich in der vhost config die php_admin_value disable_functions system,exec,passthru,popen,escapeshellcmd setze passiert aber irgendwie gar nichts. ich hab gelesen, dass das nur in der php.ini geht :\| kann mir mal bitte jemand erklären, warum grade so eine wichtige sache nicht nochmal gesetzt werden kann? __________________ <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB 667REG ECC Ram \| 2x Nvidia 8800GT \| Nvidia 8400GS \| Maxtor Atlas II 15K \|>

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen	Thema durchsuchen: Erweiterte Suche
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
vhosts und https?	easteregg	Webmaster-Security	9	23.11.09 18:03
SVN vhosts passwortschutz	weau	Linux/UNIX	19	06.05.08 08:34
PHP Webanwendung absichern	FreeCastle	Webmaster-Security	13	06.03.08 00:08
phpMyadmin absichern	Chakky	Webmaster-Security	2	27.03.07 18:05
Cd absichern	FloX	Music- & Filmbox	0	16.08.05 17:22