apache und open_basedir

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11233

04.05.2003 - 09:14

kleines vhost problem, es soll verhindert werden das ein user per php sein root verlassen kann. es soll nicht über open_basedir in der php.ini gesetzt werden.
leider greift die regel nicht, ich kann jederzeit mit nem einfachen php script dateien aus anderen vhosts usw auslesen.
per google hab ich schon alle möglichen beispiele gefunden, wobei keine wirklich funktionieren will, langsam steh ich total daneben:

php_admin_value open_basedir "/var/web/"
php_admin_value open_basedir "/var/web/:/usr/share/php4/"
....

hier noch ne beispielsconfig die ich verwenden:

<VirtualHost 192.168.1.100>
DocumentRoot /var/web
ServerName web.spunz.local
php_admin_value open_basedir "/var/web/"
</VirtualHost>

<VirtualHost 192.168.1.100>
DocumentRoot /var/www
ServerName emp.spunz.local
php_admin_value open_basedir "/var/www/"
</VirtualHost>

Eat my shorts

Little Overclocker

Registered: Dec 2002
Location: Österreich
Posts: 56

04.05.2003 - 13:45

meines wissens nach hat es bei der Option massive implementierungsprobleme gegeben, weil das nie funktioniert hat, allerdings is das schon einige zeit her. Der Syntax würde eigentlich passen. hab mal die bugreports durchforstet und bin auf das gestoßen, anscheinend dürften noch immer probs auftreten

http://bugs.php.net/bug.php?id=17927
http://bugs.php.net/bug.php?id=19292

mfg
bernhard

Philipp

Here to stay

Registered: Jul 2001
Location: Wien
Posts: 1922

04.05.2003 - 14:12

Zitat von spunz
kleines vhost problem, es soll verhindert werden das ein user per php sein root verlassen kann. es soll nicht über open_basedir in der php.ini gesetzt werden.

Warum aktivierst du nicht gleich safe_mode = On in php.ini? Dann kann der User nur seine eigenen Dateien öffnen.

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11233

04.05.2003 - 14:31

weil wir einiges an sw laufen lassen wollen die mit safe_mode leider nicht laufen

Philipp

Here to stay

Registered: Jul 2001
Location: Wien
Posts: 1922

04.05.2003 - 19:06

Zitat von spunz
weil wir einiges an sw laufen lassen wollen die mit safe_mode leider nicht laufen

Das ist normalerweise ein Zeichen dafür das die entsprechenden Programme unsauber arbeiten oder der Server falsch konfiguriert ist. Ich selber verwende auf meinen Server ausschliesslich Safe Mode und könnte keinerlei Probleme feststellen.

Falls du die Sicherheit deiner PHP Konfiguration einmal testen willst, solltest du phpRemoteView ausprobieren: http://php.spb.ru/remview/remview_2003_04_22.zip

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11233

04.05.2003 - 19:09

schreibst mir eine umfangreiche gallery software mit benutezrverwaltung usw?

ich kenn leider keine vergleichbare die auch free wäre

Philipp

Here to stay

Registered: Jul 2001
Location: Wien
Posts: 1922

05.05.2003 - 14:50

Ich habe mir gerade die Gallery Software angesehen. Anscheiend verwendet das Script mehrere exec() Aufrufe :eek:

Du könntest Safe Mode aber auch pro virtuellen Host aktivieren/deaktivieren

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11233

05.05.2003 - 17:01

funktioniert das so "gut" wie die open_basedir implementation?

ach ja, willst du nicht neben deinem eigenen cms noch eine gallery programmieren?

Philipp

Here to stay

Registered: Jul 2001
Location: Wien
Posts: 1922

05.05.2003 - 17:42

Zitat von spunz
funktioniert das so "gut" wie die open_basedir implementation?

Besser. Die Websites auf denen Safe Mode aktiviert ist können keine fremden Dateien mit anderer UserID öffnen.

Zitat von spunz
ach ja, willst du nicht neben deinem eigenen cms noch eine gallery programmieren?

Das könnte vielleicht Teil der 2.0 Release werden. Ich bereite jetzt aber erstmal den Release von 1.0 vor

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11233

05.05.2003 - 18:07

danke, ich hab jetzt mal dazu etwas gegoogelt.

http://php.lamphost.net/manual/en/f...p#ini.safe-mode

<VirtualHost 192.168.1.100>
DocumentRoot /var/web
ServerName web.bla.local
php_admin_value safe_mode 1
</VirtualHost>

<VirtualHost 192.168.1.100>
DocumentRoot /var/www
ServerName fw.bla.local
php_admin_value safe_mode 0
</VirtualHost>

funktioniert anscheinend perfekt

spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11233	04.05.2003 - 09:14 kleines vhost problem, es soll verhindert werden das ein user per php sein root verlassen kann. es soll nicht über open_basedir in der php.ini gesetzt werden. leider greift die regel nicht, ich kann jederzeit mit nem einfachen php script dateien aus anderen vhosts usw auslesen. per google hab ich schon alle möglichen beispiele gefunden, wobei keine wirklich funktionieren will, langsam steh ich total daneben: php_admin_value open_basedir "/var/web/" php_admin_value open_basedir "/var/web/:/usr/share/php4/" .... hier noch ne beispielsconfig die ich verwenden: <VirtualHost 192.168.1.100> DocumentRoot /var/web ServerName web.spunz.local php_admin_value open_basedir "/var/web/" </VirtualHost> <VirtualHost 192.168.1.100> DocumentRoot /var/www ServerName emp.spunz.local php_admin_value open_basedir "/var/www/" </VirtualHost>
Eat my shorts Little Overclocker Registered: Dec 2002 Location: Österreich Posts: 56	04.05.2003 - 13:45 meines wissens nach hat es bei der Option massive implementierungsprobleme gegeben, weil das nie funktioniert hat, allerdings is das schon einige zeit her. Der Syntax würde eigentlich passen. hab mal die bugreports durchforstet und bin auf das gestoßen, anscheinend dürften noch immer probs auftreten http://bugs.php.net/bug.php?id=17927 http://bugs.php.net/bug.php?id=19292 mfg bernhard
Philipp Here to stay Registered: Jul 2001 Location: Wien Posts: 1922	04.05.2003 - 14:12 Zitat von spunz kleines vhost problem, es soll verhindert werden das ein user per php sein root verlassen kann. es soll nicht über open_basedir in der php.ini gesetzt werden. Warum aktivierst du nicht gleich safe_mode = On in php.ini? Dann kann der User nur seine eigenen Dateien öffnen.
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11233	04.05.2003 - 14:31 weil wir einiges an sw laufen lassen wollen die mit safe_mode leider nicht laufen
Philipp Here to stay Registered: Jul 2001 Location: Wien Posts: 1922	04.05.2003 - 19:06 Zitat von spunz weil wir einiges an sw laufen lassen wollen die mit safe_mode leider nicht laufen Das ist normalerweise ein Zeichen dafür das die entsprechenden Programme unsauber arbeiten oder der Server falsch konfiguriert ist. Ich selber verwende auf meinen Server ausschliesslich Safe Mode und könnte keinerlei Probleme feststellen. Falls du die Sicherheit deiner PHP Konfiguration einmal testen willst, solltest du phpRemoteView ausprobieren: http://php.spb.ru/remview/remview_2003_04_22.zip
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11233	04.05.2003 - 19:09 schreibst mir eine umfangreiche gallery software mit benutezrverwaltung usw? ich kenn leider keine vergleichbare die auch free wäre
Philipp Here to stay Registered: Jul 2001 Location: Wien Posts: 1922	05.05.2003 - 14:50 Ich habe mir gerade die Gallery Software angesehen. Anscheiend verwendet das Script mehrere exec() Aufrufe Du könntest Safe Mode aber auch pro virtuellen Host aktivieren/deaktivieren
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11233	05.05.2003 - 17:01 funktioniert das so "gut" wie die open_basedir implementation? ach ja, willst du nicht neben deinem eigenen cms noch eine gallery programmieren?
Philipp Here to stay Registered: Jul 2001 Location: Wien Posts: 1922	05.05.2003 - 17:42 Zitat von spunz funktioniert das so "gut" wie die open_basedir implementation? Besser. Die Websites auf denen Safe Mode aktiviert ist können keine fremden Dateien mit anderer UserID öffnen. Zitat von spunz ach ja, willst du nicht neben deinem eigenen cms noch eine gallery programmieren? Das könnte vielleicht Teil der 2.0 Release werden. Ich bereite jetzt aber erstmal den Release von 1.0 vor
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11233	05.05.2003 - 18:07 danke, ich hab jetzt mal dazu etwas gegoogelt. http://php.lamphost.net/manual/en/f...p#ini.safe-mode <VirtualHost 192.168.1.100> DocumentRoot /var/web ServerName web.bla.local php_admin_value safe_mode 1 </VirtualHost> <VirtualHost 192.168.1.100> DocumentRoot /var/www ServerName fw.bla.local php_admin_value safe_mode 0 </VirtualHost> funktioniert anscheinend perfekt

apache und open_basedir

Forum Index > Digital Life > Internet & Provider

spunz

Eat my shorts

Philipp

spunz

Philipp

spunz

Philipp

spunz

Philipp

spunz