Ab htdocs (aufwärts) sperren mit Apache

Alles, was den Apache betrifft, kann hier besprochen werden.

Ab htdocs (aufwärts) sperren mit Apache

Postby MrMorpheus » 10. December 2004 21:06

Hi Zusammen,

hab nen kleinen webserver am laufen, und würde gerne alles was überdem Ordner htdocs ist für scripte sperren.
Weis jemand ob bzw. wenn wie man dem Apache so etwas bei bringen kann?

thx im vorraus
euer MrMorpheus :wink:
MrMorpheus
 
Posts: 5
Joined: 10. December 2004 17:32

Postby deepsurfer » 13. December 2004 13:44

benutzt du Linux oder Windows als Betriebssystem für den XAMPP ??

chirio
Deep
User avatar
deepsurfer
AF Moderator
 
Posts: 6440
Joined: 23. November 2004 10:44
Location: Cologne
Operating System: Win-XP / Win7 / Linux -Debian

Postby Wiedmann » 13. December 2004 16:26

hab nen kleinen webserver am laufen, und würde gerne alles was überdem Ordner htdocs ist für scripte sperren.

Was für Scripte? PHP, Perl, ...?
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby MrMorpheus » 13. December 2004 16:56

Also, zu euren Fragen:
OS: WindowsXP Pro SP1
PHP: 5.0.2
Apache: 2.0.52

ich habe ein eigentlich recht hilfreiches tool gefunden, mit dem man sich verzeichnise auf einem Webserver ansehn kann, jedoch zeigt es auch verzeichnise dies- und jenseits der htdocs grenze an. Beispielsweise war es mit dem Script ohne weiteres möglich das passwd file auf einem 1&1 Server zu sehen oder die anderen Kunden Verzeichnise. (sehr sicher also!) :wink:
Ich will nur noch mal betonen, dass das nur ein PHP Script ist und nichts mehr!

thx euer MrMorpheus
MrMorpheus
 
Posts: 5
Joined: 10. December 2004 17:32

Postby deepsurfer » 13. December 2004 18:53

ach das...

hast du acuh mal versucht mit diesem script bei dem anderen 1&1 Kunden etwas zu ändern... da sollte selbst dein script nicht mitmachen.
Wenn dann eine Änderung von Dir durchführbar ist, DANN kannst du von einem Sicherheitsproblem sprechen.
Du kannst sogar die .htaccess dateien sehen, ABER nicht editieren...wenn doch dann kannst du von einem Sicherheitsproblem ausgehen.

Selbst vermeintliche System-interne Verzeichnisse siehst Du, diese sind aber zu 99,999999999 % SoftLinks und werden gebraucht um die Administration der Serverbänke aufrecht zu erhalten.

Diesen Umstand hatte Strato auch eine Zeitlang.
Setz Dich per Mail mit dem Service von 1&1 Verbindung und schildere deine Erkenntnise. Sachlich und ohne Zwang.
Die werden sicherlich zuerst mit einem belanglosen text antworten, sei dir aber gewiss das die in den kommenden tagen die Config der Server ändern und alle wieder so ist wie es sein sollte.

chirio
Deep
User avatar
deepsurfer
AF Moderator
 
Posts: 6440
Joined: 23. November 2004 10:44
Location: Cologne
Operating System: Win-XP / Win7 / Linux -Debian

Postby MrMorpheus » 13. December 2004 19:04

Ja, du hast selbestverständlich recht, dass ich keine Dateien editieren kann, jedoch hat man unter umständen zugang zu Datein dessen Inforamtionsgehalt nicht unbedingt dritte lesen müssen (Logs. usw.!)

aber das ist ja nicht das eigentlich Problem. Um wieder zu meiner Frage zurück zu kommen wie man Apache verbietet PHP usw. Verzeichnise und Files überhalb des htdocs Ordner darzustellen.
MrMorpheus
 
Posts: 5
Joined: 10. December 2004 17:32

Postby deepsurfer » 13. December 2004 19:08

ich hab den richtigen Befehlcode jetzt nicht hier..... leider....
hat auf jedenfall etwas mit den
Optionen "Directory Indexex / FollowSymLinks" etc. zutun.

wie heist denn das PHPscript, dann kann man (ich auch) es gegentesten und dir dann expliziet eine Einstellung mitteilen.

Vielleicht kommt auch gleich ein ApacheCONFGuru der die lösung hat.

chirio
Deep
User avatar
deepsurfer
AF Moderator
 
Posts: 6440
Joined: 23. November 2004 10:44
Location: Cologne
Operating System: Win-XP / Win7 / Linux -Debian

Postby deepsurfer » 13. December 2004 19:12

hhmm... grad was gelesen....

Schau mal bei 1&1 mit phpinfo() nach ob der SafeMode eingeschaltet ist, wenn dieser aus ist können scripte oberhalb des eigenen Webroots zugreifen.
Was deiner Erkenntnis bei 1&1 nahe liegt.

quelle:
http://www.rhone.ch/php.html

chirio
Deep
User avatar
deepsurfer
AF Moderator
 
Posts: 6440
Joined: 23. November 2004 10:44
Location: Cologne
Operating System: Win-XP / Win7 / Linux -Debian

Postby MrMorpheus » 13. December 2004 21:21

Hi deepsurfer,

ich hab jetzt grade mal einen blick auf phpinfo() auf nem 1&1 Server gefunden, allerdings läuft dort noch PHP 4.3.8 und apache 1.3.29 und SafeMode ist dort nicht auf gelistet. Könnten das was sagen??:
Code: Select all
doc_root no value
docref_ext no value
docref_root no value


bye MrMorpheus

PS: thx für den Link
MrMorpheus
 
Posts: 5
Joined: 10. December 2004 17:32

Postby PF4 » 13. December 2004 22:39

open_basedir is die Lösung,
alles andere is nur Spielerei
PF4
 
Posts: 528
Joined: 10. March 2003 09:15

Postby MrMorpheus » 14. December 2004 06:49

thx, werd ich gleich mal ausprobieren :mrgreen:
MrMorpheus
 
Posts: 5
Joined: 10. December 2004 17:32

open_basedir und upload

Postby SPliZZ » 14. December 2004 11:16

Hi,

wollte nur noch mal kurz anfügen: Richtig: open_basedir ist die einzig zuverlässige Möglichkeit Kunden vor Kunden zu schützen. Jedoch hat dies zur Folge, dass natürlich auf /tmp - dem Upload-Standardverzeichnis - nicht zugegriffen werden kann. Damit scheitert ein copy($HTTP_POST_FILES, ...) natürlich. Abhilfe schafft hier alle copy durch move_uploded_file zu ersetzen, sofern es sich um uploads handelt. Habe ich gerade beim wünderschönen PHProjekt machen müssen, damit Dateien hochgeladen werden können.

Viele Grüße

Micha
SPliZZ
 
Posts: 3
Joined: 14. December 2004 10:56
Location: Ludwigsburg

Postby PF4 » 14. December 2004 12:30

man kann ja das upload und tmp mittels php_admin_value im vhost oder .htaccess auch ins das Benutzerverz setzen
genauso wie open_basedir
PF4
 
Posts: 528
Joined: 10. March 2003 09:15

copy nicht beschränkt

Postby SPliZZ » 14. December 2004 12:54

Ja. Genau. Daran hatte ich gar nicht gedacht. Und zwar deshalb nicht, weil ich denke, wenn eine Programmiersprache schon so eine Funktion anbietet, benütze ich die auch, damit bin ich auf der sicheren Seite. Security-Updates mache wir ja alle?!
Mir ist nämlich bei Deinem Vorschlag unklar, wie ich verhindere, dass z.B. Konfigdateien mit Passwörtern ausgelesen werden. Bisher hatte ich da immer untersucht, ob $_POST['filename'] zusätzlich zu dem von der Anwendung gewollten $HTTP_POST_FILES['filename'] gesetzt war. Wenn ja, hat der "Benutzer" wohl versucht eine POST-Variable mit einem falschen Wert z.B. "conifg.inc.php" mitzusenden. Eventuell führt dies dann über die Anwendung dazu, dass Dateien zugänglich gemacht werden, die geheim bleiben sollten. Liege ich da jetzt völlig falsch?
SPliZZ
 
Posts: 3
Joined: 14. December 2004 10:56
Location: Ludwigsburg


Return to Apache

Who is online

Users browsing this forum: No registered users and 4 guests