[LUGA] Mit freundlicher Unterstützung von:
Linux New Media AG

Mail Thread Index

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [klaus.zahradnik@sysinet.com: Re: [klaus.zahradnik@sysinet.com: Re: [luga] Shellzugang]]

At 22:36 21.10.2003, Peter J. Holzer wrote:

> verhinder, das der den Dateinamen rausfindet. Dann kann er Ihn auch
> nicht lesen...oder? (mapserver wird per phpmapscript od. perlmapscrip
> aufgerufen oder auch direkt mittels http(s))

Was hindert ihn, ein PHP- oder Perl-Script zu schreiben, das mit den
Rechten des Webservers läuft und den Dateinamen herausfindet?

CGI-Scripts lassen sich relativ leicht "einsperren", aber bei allem, was
im Apache via mod_* läuft ist das zumindest beim 1.3.x nicht möglich
(beim 2.x geht's angeblich).

        hp


Eine sichere Konfiguration des Moduls und Webservers sollte ihn daran hindern:

PHP zB. als Modul mittels
        safe_mode = On
und dann sind da noch:
        safe_mode_exec_dir
        open_basedir
        max_execution_time
        memory_limit
        upload_tmp_dir
        doc_root
        user_dir

oder als CGI binary, im User-space aber das ist eine andere Geschichte.

zwei nette Links zum Thema:
http://www.linuxsecurity.com/feature_stories/feature_story-117.html
http://www.onlamp.com/pub/a/php/2001/03/29/php_admin.html
lg g
powered by LINUX the choice of a gnu generation
linux user group austria; 		Suche
Suche 		Letzte Änderung:
webmaster@luga.at
September 2010