Hallo Mathias,
ich glaube 99% der Sicherheitsprobleme kommen aufgrund von schlechter
Konfiguration bzw. in diesem Fall aufgrund von schlechten
Sicherheitsvorgaben (man kennt es ja teilweise nicht anders von M
$-Produkten und das ist eigentlich negativ für Unix/OpenSource) zustande.
Dieses Problem ist - solange der Webserver nicht mit root-Rechten läuft -
auch nur halbwegs gravierend: du hast nur die Rechte welche das lokale
System dem Webserver-Benutzer zugesteht, nur leider sind das oft Leserechte
auf Datenbanken und Textfiles welche u.a. Passwörter enthalten können.
Wenige konfigurieren Ihre Webserver mit "safe_mode on" in der php.ini und
noch weniger machen sich die Arbeit wie Leonhard ;o)
Es funktioniert aber wunderbar wenn du deine http.ini anschließend wie
folgt veränderst, um das funktionierende Beispiel gleich mit aufzuzählen:
<VirtualHost a.b.c.d>
....
AddType application/x-httpd-php .php .phtml
AddType application/x-httpd-php-source .phps
php_admin_value open_basedir
".:/www/root/verzeichniss/dieses/virtualhosts"
....
</VirtualHost>
Natürlich sollte wie in der letzten Email angedeutet der Type-Handler für
php-Dateien aus der globalen Apache-Konfiguration verschwinden!
Anschließend ein kleiner apachectl configtest und apachectl restart und du
bist im Rennen.
Cheers,
Günther
Günther Mair
Internet Engineer
ENERGIS Italia GmbH
Pfarrhofstrasse 60/A
I-39100 Bozen (BZ)
Tel.: +39 0471 254000
Fax: +39 0471 251617
Email: guenther.mair(a)energis.it
Web: http://www.energis.it
greeny
<greeny(a)gamers An: guenther.mair(a)energis.it
revolt.it> Kopie:
Thema: Re: Antwort: [Lugbz-list] PHP und Sicherheit
24.07.2003
21:06
Bitte
antworten an
greeny
vielen dank für die hilfe ! ich war ganze geschockt als ich das zum ersten
mal gesehen habe und mir kommt vor sehr wenige wissen das ... oder glaub
ich das nur?
gruß
matthias