Apache2 PHP absichern?

Alpha63

New Member
Hallo ihr lieben,

gibt es eine möglichkeit wie ein PHP Nutzer nicht in das Wurzel Verzeichniss kommt?

ich habe bis jetzt suPHP gefunden. Bei suPHP bin ich mir aber unsicher ob diese Software verhindert das der Nutzer aus seinem Ordner rauskann.

Der Nutzer soll unter keinen umständen aus seinen Ordner per PHP ausbrechen können und erst recht nicht soll er die Möglichkeit haben andere Ordner einzusehen.

Natürlich kann ich unter Linux viel mit dem Rechtesystem an sich einstellen aber ich kann doch nicht alle Global freigegebenen Dateien sperren. Da das System teilweise darauf zugreifen muss.

Hat jemand einen heißen Tipp?


Liebe Grüße und vielen Dank
Alpha63
 

danton

Debian User
Statt suPHP würde ich eher suexec implementieren, da suPHP (wie der Name schon sagt) für PHP gedacht ist. Damit kannst du auch andere Scriptsprachen wie Perl, Python usw. verarzten.
Suexec sorgt dafür, dass die eingesetzen Scripte unter dem in der Apache-Konfig eingetragenen Benutzer für die vHost laufen - i.d.R. ist das der Benutzer, der die Dateien auch per FTP hochläd. Auf die anderen Webseiten braucht dann der Apache-User (bei Debian ist das z.B. www-data) nur noch lesenden Zugriff.
SuPHP und suexec verhindern erstmal keine Zugriffe auf andere Webverzeichnisse, die Sicherheit kommt erst in Kombination mit entspechenden Zugriffsrechten (Webseiten-User schreiben+lesen, Apache lesen, Rest kein Zugriff).
 

TerraX

Active Member
Da der TE explizit PHP angesprochen hat, würde ich noch php-fpm in Kombination mit mod_proxy_fcgi in den Raum werfen. die suexec/CGI-Variante erzeugt deutlich höher Serverlasten.

Eine gewissenhafte php.ini-Konfig wäre ebenfalls ein guter Beitrag zu mehr Sicherheit.

ModSecurity wäre ebenfalls noch einen Blick wert.
 

Top