Sicherer Benutzerrechte des Apache-Users bei VHost?!

D

Dmitri

Jungspund
Bei meiner Konfiguration eines Apache2 befürchte ich folgende Sicherheitslücken: :think:
Da z.B. PHP-Scripte eine VHosts (nennen wir ihn A) in ihrem DocumentRoot Schreibrechte haben, um z.B. Dateien hochzuladen befürchte ich, dass solche Scripte bei Missbrauch auch in ein anderes DocumentRoot von VHost B schreiben könnten. Damit könnte man z.B. meine Subversion-Repositorys zerschießen.

Sind die DocumentRoots der einzelnen VHosts per Default sicher abgeschirmt? Gibt es evtl. eine Möglichkeit für die einzelnen VHosts auch einzelne System-Benutzer zu verwenden, ohne experemintelle Erweiterungen in den Apache zu laden?
 
Ist die Frage zu einfach oder zu schwirieg? Oder benutzt keiner VHosts? ?(
 
ich glaube es benutzt keiner VHosts, weshalb dich auch niemand versteht^^

Was genau sind denn VHosts, kannste mir das mal erklären? vll kann ich ja helfen
 
Klar:

Da ich mehrere Domains habe, aber nur eine statische IP auf meinem virtuellen root-Server, muss ich Apache sagen, wie er mit der domain www.abc1.de und der www.abc2.org umgehen soll.
Dafür nehme ich inder Config VHosts, dass sieht dann so aus:

(in /etc/apache2/sites-enabled/egal_bla)

Code:
<VirtualHost *:80>
ServerName devel42.org
ServerAlias www.devel42.org *.devel42.org
DocumentRoot /pub/http/devel42.org
Options -Indexes
</VirtualHost>

Code:
# Subversion + SSL
<VirtualHost *:443>
        ServerName aviarycms
        ServerAlias svn.aviarycms.org

        <Location />
                DAV svn
                SVNPath /pub/svnrepos/aviary/

                AuthType Basic
                AuthName "aviaryCMS Subversion-Repository"
                AuthUserFile /pub/auth/aviary.auth.svn
                AuthzSVNAccessFile /pub/auth/aviary.accs.svn
                Require valid-user
        </Location>


        SSLEngine on
        SSLCertificateFile /pub/cert/svn.aviary.pem
        SSLCertificateKeyFile /pub/cert/svn.aviary.key

        SSLProtocol all
        SSLCipherSuite HIGH:MEDIUM
</VirtualHost>

Nun habe ich Angst, dass scripte in devel42.org auch Änderungen an meinem Subversion Repository vornehmen könnten, was ja sehr unangenehm wäre.... ;)

Es gibt angeblich eine Möglichkeit für die jeweiligen DocumentRoots andere Benutzerrechte anzulegen, aber es ist anscheinend (zumindest unter Debian) experemintell.

Habt Ihr Anregungen/Vorschläge, wie ich unterschiedliche Apache-Benutzer nehmen könnte oder anders sicherheit gewährleiste?
 
Mach doch für jeden Virtual Host ein eigenes DocumentRoot?!!
 
Mach doch für jeden Virtual Host ein eigenes DocumentRoot?!!

Hab ich doch! Aber der Apache ist trotzdem der selbe Benutzer und könnte theoretisch in jedes Document-Root schreiben, wie er lustig ist!

Die Links lösen das Problem auch nicht, zumahl PHP nur ein Beispiel ist. Es wird noch z.B. Python eingesetzt
 
Dann ändere die chmod rechte so, dass der www User Dateien nicht bearbeiten kann. Bei den Files oder Ordner die aber durch den www User bearbeitet werden dürfen gibst du halt auch schreib rechte.

Ich weiss zwar nicht was Du dir dabei überlegst?!
 
@sct: er will nicht dass der www-user keine leserechte auf dem system hat. Er will mehrere User die einen Apache-Server laufen haben, bzw, die den Apache-Server benutzen. Außerdem sollen sie nicht sich gegenseitig in die Verzeichnisse gucken, stimmts?
 
@sct: er will nicht dass der www-user keine leserechte auf dem system hat. Er will mehrere User die einen Apache-Server laufen haben, bzw, die den Apache-Server benutzen. Außerdem sollen sie nicht sich gegenseitig in die Verzeichnisse gucken, stimmts?

Absolut! :))

Und leider immer noch keine lösung :'-(
 
Hallo
Was du suchst ist suphp
Einen Link dazu (sogar in deutsch):
Klick

Gruß Wolfgang
 
Tschuldigung für die lange Antwort, hatte aber zutun:

Die angebotenen Lösungen sind alle nur für PHP!

Inzwischen bin ich auf suexec in der Konfig gekommen. Aber wenn ich mich nicht täusche, ist das nur für CGIs und mit Apache-Modulen sinnlos?!
 

Ähnliche Themen

Problem mit Apache2 + MySQL Server

(Zugriffs-)Rechte für Apache-Vhost-user. Wieviel ist gut?

Konfiguration für mehrere Domains lokal nachbilden

Zurück
Oben