exec mit PHP zulassen

Irgendwelche Probleme mit XAMPP für Linux? Dann ist hier genau der richtige Ort um nachzufragen.

Re: exec mit PHP zulassen

Postby err.println » 10. November 2015 19:41

Habs anders gemacht,
hab www-data und Daemon in der sudoers für ALL=NOPASSWD: /opt/lampp/htdocs/benutzer_loeschen2.php eingefügt und nun:
exec("sudo rm -rf $dir"); in meinem PHP-Code eingefügt. Nun funktioniert alles.

Danke für Deine Hilfe! :-)
err.println
 
Posts: 14
Joined: 13. October 2015 08:30
Operating System: Debian

Re: exec mit PHP zulassen

Postby Nobbie » 10. November 2015 20:48

Naja, ich würde sagen, "gewagt".

Sollte es eine Sicherheitslücke auf dem Server geben, so ermöglichst Du dem Eindringling jetzt die Chance, mit root-Rechten unter Apache für Kahlschlag zu sorgen. Viel Glück...
Nobbie
 
Posts: 8780
Joined: 09. March 2008 13:04

Re: exec mit PHP zulassen

Postby err.println » 10. November 2015 22:18

Allerdings beziehen sich die sudo-Rechte doch nur auf das /bin/rm, wie ich meine (habs oben falsch beschrieben). Entnommen habe ich es aus https://wiki.ubuntuusers.de/sudo/Konfiguration
Mir ist schon bewusst, dass das sicherheitstechnisch vollkommen gefährlich ist, aber ich weiß nun mal nicht, wie ich es großartig anders lösen soll.
Das einzige, was mir noch einfallen würde ist, dass ich was in der httpd.conf anpassen muss.
Irgendeine Idee?
err.println
 
Posts: 14
Joined: 13. October 2015 08:30
Operating System: Debian

Re: exec mit PHP zulassen

Postby Nobbie » 10. November 2015 22:28

err.println wrote:Allerdings beziehen sich die sudo-Rechte doch nur auf das rm


Nicht dass ich wüßte. Wo sollte das festgelegt sein? Wobei das fast egal ist, ein "sudo rm -rf /" dürfte wenig erfreuliche Folgen haben.

Ich würde nach wie vor nur Apache als www-data laufen lassen, genau wie den FTP Server. Dann kann nichts passieren.

err.println wrote:Das einzige, was mir noch einfallen würde ist, dass ich was in der httpd.conf anpassen muss.
Irgendeine Idee?


s.o. - habe ich doch längst beschrieben. "User=www-data" in httpd.conf und die Dateirechte ggf. anpassen.
Nobbie
 
Posts: 8780
Joined: 09. March 2008 13:04

Re: exec mit PHP zulassen

Postby err.println » 12. November 2015 11:36

Ich hab nun alles auf www-data angepasst und nun funktioniert es auch ohne sudo!

Vielen vielen vielen Dank für Deine Hilfe und insbesondere für Deine Geduld mit mir!!!
err.println
 
Posts: 14
Joined: 13. October 2015 08:30
Operating System: Debian

Re: exec mit PHP zulassen

Postby err.println » 12. November 2015 11:37

Nicht dass ich wüßte. Wo sollte das festgelegt sein?

War falsch von mir angegeben.
www-data ALL=NOPASSWD: /bin/rm

Aber wer löschen kann, kann auch alles kaputt machen, also so oder so suboptimal.
err.println
 
Posts: 14
Joined: 13. October 2015 08:30
Operating System: Debian

Previous

Return to XAMPP für Linux

Who is online

Users browsing this forum: No registered users and 3 guests