Sicherer Benutzerrechte des Apache-Users bei VHost?!

Dieses Thema im Forum "Web- & File-Services" wurde erstellt von Dmitri, 21.02.2007.

  1. Dmitri

    Dmitri Jungspund

    Dabei seit:
    08.02.2007
    Beiträge:
    19
    Zustimmungen:
    0
    Ort:
    Siegburg
    Bei meiner Konfiguration eines Apache2 befürchte ich folgende Sicherheitslücken: :think:
    Da z.B. PHP-Scripte eine VHosts (nennen wir ihn A) in ihrem DocumentRoot Schreibrechte haben, um z.B. Dateien hochzuladen befürchte ich, dass solche Scripte bei Missbrauch auch in ein anderes DocumentRoot von VHost B schreiben könnten. Damit könnte man z.B. meine Subversion-Repositorys zerschießen.

    Sind die DocumentRoots der einzelnen VHosts per Default sicher abgeschirmt? Gibt es evtl. eine Möglichkeit für die einzelnen VHosts auch einzelne System-Benutzer zu verwenden, ohne experemintelle Erweiterungen in den Apache zu laden?
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. Dmitri

    Dmitri Jungspund

    Dabei seit:
    08.02.2007
    Beiträge:
    19
    Zustimmungen:
    0
    Ort:
    Siegburg
    Ist die Frage zu einfach oder zu schwirieg? Oder benutzt keiner VHosts? ?(
     
  4. #3 Always-Godlike, 24.02.2007
    Always-Godlike

    Always-Godlike Das Freak

    Dabei seit:
    31.12.2006
    Beiträge:
    939
    Zustimmungen:
    0
    Ort:
    Saarland
    ich glaube es benutzt keiner VHosts, weshalb dich auch niemand versteht^^

    Was genau sind denn VHosts, kannste mir das mal erklären? vll kann ich ja helfen
     
  5. hengs

    hengs Tripel-As

    Dabei seit:
    21.02.2005
    Beiträge:
    217
    Zustimmungen:
    0
    Ort:
    Salzburg
    Sind eigentlich schon verbreitet, vielleicht hilft Dir der Name Virtueller Server weiter:
    http://de.wikipedia.org/wiki/Server#Virtuelle_Server
     
  6. Dmitri

    Dmitri Jungspund

    Dabei seit:
    08.02.2007
    Beiträge:
    19
    Zustimmungen:
    0
    Ort:
    Siegburg
    Klar:

    Da ich mehrere Domains habe, aber nur eine statische IP auf meinem virtuellen root-Server, muss ich Apache sagen, wie er mit der domain www.abc1.de und der www.abc2.org umgehen soll.
    Dafür nehme ich inder Config VHosts, dass sieht dann so aus:

    (in /etc/apache2/sites-enabled/egal_bla)

    Code:
    <VirtualHost *:80>
    ServerName devel42.org
    ServerAlias www.devel42.org *.devel42.org
    DocumentRoot /pub/http/devel42.org
    Options -Indexes
    </VirtualHost>
    
    Code:
    # Subversion + SSL
    <VirtualHost *:443>
            ServerName aviarycms
            ServerAlias svn.aviarycms.org
    
            <Location />
                    DAV svn
                    SVNPath /pub/svnrepos/aviary/
    
                    AuthType Basic
                    AuthName "aviaryCMS Subversion-Repository"
                    AuthUserFile /pub/auth/aviary.auth.svn
                    AuthzSVNAccessFile /pub/auth/aviary.accs.svn
                    Require valid-user
            </Location>
    
    
            SSLEngine on
            SSLCertificateFile /pub/cert/svn.aviary.pem
            SSLCertificateKeyFile /pub/cert/svn.aviary.key
    
            SSLProtocol all
            SSLCipherSuite HIGH:MEDIUM
    </VirtualHost>
    
    Nun habe ich Angst, dass scripte in devel42.org auch Änderungen an meinem Subversion Repository vornehmen könnten, was ja sehr unangenehm wäre.... ;)

    Es gibt angeblich eine Möglichkeit für die jeweiligen DocumentRoots andere Benutzerrechte anzulegen, aber es ist anscheinend (zumindest unter Debian) experemintell.

    Habt Ihr Anregungen/Vorschläge, wie ich unterschiedliche Apache-Benutzer nehmen könnte oder anders sicherheit gewährleiste?
     
  7. #6 Always-Godlike, 24.02.2007
    Always-Godlike

    Always-Godlike Das Freak

    Dabei seit:
    31.12.2006
    Beiträge:
    939
    Zustimmungen:
    0
    Ort:
    Saarland
  8. #7 RockingRolli, 26.02.2007
    RockingRolli

    RockingRolli \o

    Dabei seit:
    26.02.2007
    Beiträge:
    2
    Zustimmungen:
    0
  9. sct

    sct Jungspund

    Dabei seit:
    01.03.2007
    Beiträge:
    11
    Zustimmungen:
    0
    Mach doch für jeden Virtual Host ein eigenes DocumentRoot?!!
     
  10. Dmitri

    Dmitri Jungspund

    Dabei seit:
    08.02.2007
    Beiträge:
    19
    Zustimmungen:
    0
    Ort:
    Siegburg
    Hab ich doch! Aber der Apache ist trotzdem der selbe Benutzer und könnte theoretisch in jedes Document-Root schreiben, wie er lustig ist!

    Die Links lösen das Problem auch nicht, zumahl PHP nur ein Beispiel ist. Es wird noch z.B. Python eingesetzt
     
  11. sct

    sct Jungspund

    Dabei seit:
    01.03.2007
    Beiträge:
    11
    Zustimmungen:
    0
    Dann ändere die chmod rechte so, dass der www User Dateien nicht bearbeiten kann. Bei den Files oder Ordner die aber durch den www User bearbeitet werden dürfen gibst du halt auch schreib rechte.

    Ich weiss zwar nicht was Du dir dabei überlegst?!
     
  12. #11 Always-Godlike, 03.03.2007
    Always-Godlike

    Always-Godlike Das Freak

    Dabei seit:
    31.12.2006
    Beiträge:
    939
    Zustimmungen:
    0
    Ort:
    Saarland
    @sct: er will nicht dass der www-user keine leserechte auf dem system hat. Er will mehrere User die einen Apache-Server laufen haben, bzw, die den Apache-Server benutzen. Außerdem sollen sie nicht sich gegenseitig in die Verzeichnisse gucken, stimmts?
     
  13. Dmitri

    Dmitri Jungspund

    Dabei seit:
    08.02.2007
    Beiträge:
    19
    Zustimmungen:
    0
    Ort:
    Siegburg
    Absolut! :))

    Und leider immer noch keine lösung :'-(
     
  14. #13 Wolfgang, 03.03.2007
    Wolfgang

    Wolfgang Foren Gott

    Dabei seit:
    24.04.2005
    Beiträge:
    3.978
    Zustimmungen:
    0
    Ort:
    Erfurt
    Hallo
    Was du suchst ist suphp
    Einen Link dazu (sogar in deutsch):
    Klick

    Gruß Wolfgang
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. .mike.

    .mike. Doppel-As

    Dabei seit:
    27.08.2006
    Beiträge:
    207
    Zustimmungen:
    0
    und was is mit "open_basedir" ???
     
  17. Dmitri

    Dmitri Jungspund

    Dabei seit:
    08.02.2007
    Beiträge:
    19
    Zustimmungen:
    0
    Ort:
    Siegburg
    Tschuldigung für die lange Antwort, hatte aber zutun:

    Die angebotenen Lösungen sind alle nur für PHP!

    Inzwischen bin ich auf suexec in der Konfig gekommen. Aber wenn ich mich nicht täusche, ist das nur für CGIs und mit Apache-Modulen sinnlos?!
     
Thema:

Sicherer Benutzerrechte des Apache-Users bei VHost?!

Die Seite wird geladen...

Sicherer Benutzerrechte des Apache-Users bei VHost?! - Ähnliche Themen

  1. Deutscher Rentenversicherer setzt breitflächig Linux ein

    Deutscher Rentenversicherer setzt breitflächig Linux ein: Der größte der 16 deutschen Rentenversicherungsträger, die »Deutsche Rentenversicherung Bund«, setzt bei ihren x86- und Mainframe-Computern auf...
  2. Klünter: Android-Systeme - besser und sicherer als ihr Ruf

    Klünter: Android-Systeme - besser und sicherer als ihr Ruf: Oliver Klünter, Product Manager Mobile bei Matrix42, hält Android-Geräte auch in Unternehmen ohne größere Probleme für einsetzbar. Dabei sollte...
  3. Git-Repositorien auf Kernel.org sollen sicherer werden

    Git-Repositorien auf Kernel.org sollen sicherer werden: Auf dem Linux Kernel Summit in dieser Woche in Chicago lässt die Linux Foundation einhundert von der Firma Yubico gespendete Yubikeys an...
  4. Git Repositories auf Kernel.org sollen sicherer werden

    Git Repositories auf Kernel.org sollen sicherer werden: Auf dem Linux Kernel Summit in dieser Woche in Chicago lässt die Linux Foundation einhundert von der Firma Yubico gespendete Yubikeys an...
  5. Sicherer E-Mail-Dienst Dark Mail

    Sicherer E-Mail-Dienst Dark Mail: Einem Bericht auf Ars Technica nach will die Dark Mail Alliance, hinter der der Ex-Lavabit-Chef Ladar Levison und der PGP-Erfinder Phil Zimmermann...