[HaBo]

easteregg · 01.07.09, 14:42

heyho

ihc möcht für nen kumpel bissl space auf einem vhost unter apache bereitstellen.
aber wie kann ich den am effizientesten absichern.
also ich bruach jetzt kein hochsicherheitstrackt für den erstellen, aber ich möchte den in php zb die open_basedir setzen und sowas wie exec() und co unterbinden. ist nur die frage wie das mit möglichst wenig wiederstand geht.
kann ich nicht für den vhost extra phpflags setzen, ohne das ich ne seperate ini für den benutzer anlege?

beavisbee · 01.07.09, 15:11

Gegenfrage: Wie ist denn PHP in deinem Apache eingebunden?
mod_php? cgi? fastcgi?
(übrigens - hier mal ein schöner Vergleich zwischen den Varianten: http://wiki.rootforum.de/scripting/p...php_vs_php-cgi)

ich z.B. mach das über fastcgi und hab da für jede Domain eine eigene php.ini und wenn ich wollte könnte ich sogar für jede Domain 'ne andere PHP-Version nehmen...

Wenn du bei deiner Konfiguration die Möglichkeit hast, 'ne eigene ini zu nehmen, dann mach das - ist am sichersten. mittels disable_functions kannst du in der php.ini ja einfach alles sperren, was er nicht ausführen dürfen soll und mit von dir schon genannter open_basedir-Restriction stellst du sicher, dass er nirgendwo hin kommt, wo er nicht hin kommen darf.

easteregg · 01.07.09, 15:14

ich hab das als apache modul eingebunden, da ja sonst ich nur den server benutze.
ich weis gar nicht ob es möglich ist , nen anderem host ne andere php.ini unterzuschieben.
das war nur eine vermutung. angenommen es geht nicht, wie kann ich dann die disable_function nutzen und ihm paar sachen verbieten ohne mich selbst einzuschränken?

kennst du vielleicht generell paar gute anleitungen wie man php mittels fastcgi bomben sicher für jeden vhost bekommt?
rein informativ wäre das wohl mal gut zu lesen, aber für mich fast etwas overkill

**bitmuncher** · 01.07.09, 15:47

Du kannst in den VirtualHost-Einstellungen einfach die Werte für PHP setzen. Das geht einmal über php_admin_flag oder über PHPINIDir, womit du eine extra php.ini festlegen kannst.

easteregg · 01.07.09, 15:55

super, das werd ich mal bei gelegenheit ausprobiern

danke!

**bitmuncher** · 01.07.09, 16:01

Wenn du nicht weisst, wie gut seine Programmierkenntnisse sind, kannst bzw. solltest du auch die TRACE- und TRACK-HTTP-Methoden im VHost deaktivieren:

Code:

   RewriteEngine on
   RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
   RewriteRule .* - [F]

Knoxx · 01.07.09, 16:12

Für die Open-BaseDir-Anweisung brauchst du wahrscheinlich php_admin_value, statt php_admin_flag.

So könnte dann der vHost-Block aussehen:

Zitat:

<VirtualHost 111.111.111.111:80>
ServerAdmin webmaster@foo.bar
ServerName www.foo.bar
ServerAlias foo.bar www.foo.bar

DocumentRoot /var/www/

<Directory "/var/www">
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>

php_admin_value open_basedir /var/www/

# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn

ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log combined

# Disable TRACE-/TRACK-Method
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

</VirtualHost>

easteregg · 01.07.09, 16:22

wenn ich in der vhost config die

php_admin_value disable_functions system,exec,passthru,popen,escapeshellcmd

setze passiert aber irgendwie gar nichts.
ich hab gelesen, dass das nur in der php.ini geht :|

kann mir mal bitte jemand erklären, warum grade so eine wichtige sache nicht nochmal gesetzt werden kann?

01.07.09, 14:42	#1 (permalink)
easteregg Senior Member Registriert seit: 14.09.07 Karma: 126	apache vhosts und php absichern heyho ihc möcht für nen kumpel bissl space auf einem vhost unter apache bereitstellen. aber wie kann ich den am effizientesten absichern. also ich bruach jetzt kein hochsicherheitstrackt für den erstellen, aber ich möchte den in php zb die open_basedir setzen und sowas wie exec() und co unterbinden. ist nur die frage wie das mit möglichst wenig wiederstand geht. kann ich nicht für den vhost extra phpflags setzen, ohne das ich ne seperate ini für den benutzer anlege? __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

01.07.09, 15:14	#3 (permalink)
easteregg Senior Member Themenstarter Registriert seit: 14.09.07 Karma: 126	ich hab das als apache modul eingebunden, da ja sonst ich nur den server benutze. ich weis gar nicht ob es möglich ist , nen anderem host ne andere php.ini unterzuschieben. das war nur eine vermutung. angenommen es geht nicht, wie kann ich dann die disable_function nutzen und ihm paar sachen verbieten ohne mich selbst einzuschränken? kennst du vielleicht generell paar gute anleitungen wie man php mittels fastcgi bomben sicher für jeden vhost bekommt? rein informativ wäre das wohl mal gut zu lesen, aber für mich fast etwas overkill __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

01.07.09, 15:47	#4 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Karma: 390	Du kannst in den VirtualHost-Einstellungen einfach die Werte für PHP setzen. Das geht einmal über php_admin_flag oder über PHPINIDir, womit du eine extra php.ini festlegen kannst. __________________ Mein Blog - Mein Kampf im Infokrieg Neue Beiträge im Habo via Twitter Das Habo auf Facebook

01.07.09, 15:55	#5 (permalink)
easteregg Senior Member Themenstarter Registriert seit: 14.09.07 Karma: 126	super, das werd ich mal bei gelegenheit ausprobiern danke! __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

01.07.09, 16:01	#6 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Karma: 390	Wenn du nicht weisst, wie gut seine Programmierkenntnisse sind, kannst bzw. solltest du auch die TRACE- und TRACK-HTTP-Methoden im VHost deaktivieren: Code: RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE\|TRACK) RewriteRule .* - [F] __________________ Mein Blog - Mein Kampf im Infokrieg Neue Beiträge im Habo via Twitter Das Habo auf Facebook

01.07.09, 15:11	#2 (permalink)
beavisbee Member of Honour Registriert seit: 22.02.07 Karma: 161	Gegenfrage: Wie ist denn PHP in deinem Apache eingebunden? mod_php? cgi? fastcgi? (übrigens - hier mal ein schöner Vergleich zwischen den Varianten: http://wiki.rootforum.de/scripting/p...php_vs_php-cgi) ich z.B. mach das über fastcgi und hab da für jede Domain eine eigene php.ini und wenn ich wollte könnte ich sogar für jede Domain 'ne andere PHP-Version nehmen... Wenn du bei deiner Konfiguration die Möglichkeit hast, 'ne eigene ini zu nehmen, dann mach das - ist am sichersten. mittels disable_functions kannst du in der php.ini ja einfach alles sperren, was er nicht ausführen dürfen soll und mit von dir schon genannter open_basedir-Restriction stellst du sicher, dass er nirgendwo hin kommt, wo er nicht hin kommen darf.

01.07.09, 16:22	#8 (permalink)
easteregg Senior Member Themenstarter Registriert seit: 14.09.07 Karma: 126	wenn ich in der vhost config die php_admin_value disable_functions system,exec,passthru,popen,escapeshellcmd setze passiert aber irgendwie gar nichts. ich hab gelesen, dass das nur in der php.ini geht :\| kann mir mal bitte jemand erklären, warum grade so eine wichtige sache nicht nochmal gesetzt werden kann? __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
vhosts und https?	easteregg	Webmaster-Security	9	23.11.09 17:03
SVN vhosts passwortschutz	weau	Linux/UNIX	19	06.05.08 07:34
PHP Webanwendung absichern	FreeCastle	Webmaster-Security	13	05.03.08 23:08
phpMyadmin absichern	Chakky	Webmaster-Security	2	27.03.07 17:05
Cd absichern	FloX	Music- & Filmbox	0	16.08.05 16:22

[HaBo]

apache vhosts und php absichern