Script einsperren

R

ReduX08

Foren As
Hi,
Ich nutze für jede Homepage einen systemuser (natürlich ohne Shell).
Die jeweilige Subdomain wird mittels VHost auf das jweilige Verzeichniss weitergeleitet und zwar so:
Code:
<VirtualHost *>
ServerAdmin webmaster@localhost
DocumentRoot /var/www

<Directory />
Options FollowSymLinks
AllowOverride None
Options -Indexes
Allow from all
</Directory>

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>

ErrorLog /var/log/apache2/error.log
LogLevel warn

CustomLog /var/log/apache2/access.log combined
ServerSignature On

Alias /doc/ "/usr/share/doc/"
<Directory "/usr/share/doc/">
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
Allow from 127.0.0.0/255.0.0.0 ::1/128
</Directory>

</VirtualHost>

<VirtualHost *>
ServerName www.blablalba
ServerAlias blablabla
DocumentRoot /home/USER/server/www
</VirtualHost>

Meine Frage:
Ist nun das PHP Script das im User Ordner ausgeführt wird in den User Ordner gesperrt und kann niergens daten öffnen bzw. schreiben?
Eigentlich ja schon oder? Da der Apache ja nicht als root läuft.

MFG ReduX08
 
Wo drauf läuft denn dieser Server? Der ist doch hoffentlich nicht im Internet erreichbar?

Die Webanwendung kann auf jede Datei zugreifen, auf die der User als der der Webserver läuft Zugriff hat. Da ist nix eingesperrt. Es ist Sache von Dateisystemberechtigungen den Schreibzufrigg zu vermeiden. Mindestens aber z.B. /tmp ist in der Standardeinstellung schreibbar, die meisten Webanwendungen setzen ebenfalls ein beschreibbares Verzeichnis voraus.
 
Hi,
Danke für deine Antwort.

Nein der Server ist imho. nochnicht mit dem i-net verbunden.
Er dient zur Steuerung von ein paar WI's bei mir zu Hause und sollte jedoch recht bald ans Netz.

Bitte jetzt nicht gleich lachen über meine Dummheit:
Der Apache läuft ja normalerweiße als www-data user(name kann abweichen kann gerade nicht nachschauen). Nur wie soll ich da den Zugriff des Users einschrenken?
Geht das nicht irgendwie über die Vhost?
Weil ich ja mehrere HP's habe muss der User ja auf bestimmte Home-Verzeichnisse Zugriff haben, auf andere jedoch nicht wiederrum nicht.

MFG ReduX08
 
Erzähl uns doch einfach mal, was für Anwendungen laufen sollen, wer darauf zugreifen soll und was sonst noch für Daten auf dem Server liegen, dann fällt es leichter eine Empfehlung abzugeben..
 
Hi,
Also erstmal Danke für eure Antworten!

Also auf dem Server liegen keine Daten vom Pentagon :think:

Es sollen dort verschieden "Homepages" (eig. Webinterfaces) laufen.
Zugriff haben mehrere Person, IMHO noch lokal, soll aber bald ans Netz.
Die WI's bestehen aus PHP und CGI.
Pro WI gibt es einen Systemuser, dem die Shell mittels -s /bin/false entzogen wurde. Zusätzlich gibt es für jeden User FTP(ProFTPD), dort habe ich mittels defaultroot oder wie das gehießen hat, den User in sein Homeverzeichnis "eingespert".
Das PHP Script habe ich mittels "php_admin_value open_basedir" in das Home Verzeichnis gesperrt.

Es geht jetzt im Prinzip nurnoch um CGI Script (oder habe ich etwas vergessen?), da ich mich mit CGI eigentlich noch nie richtig beschäftigt habe, weiß ich auch nicht viel über die Sicherheitsmaßnahmen. Am besten währe es wie bei PHP das man das auch über die Vhosts ändern könnte.

MFG ReduX08
 

Ähnliche Themen

NGINX bietet intern abgerufene Seiten nur zum Download an, extern geht's

Nginx als Reverse Proxy für Nextcloud und Emby

Zugriff Ubuntu 16.04. auf Freigabe 18.04. LTS nicht möglich

Samba Dateien und Ordner verschieben

Probleme mit virtual hosts

Zurück
Oben