Hallo,
irgendwie komme ich mit dem "safe_mode" von PHP nicht zu recht.
Auf meinem Server sind einige Domains am laufen die auch PHP-Unterstützung
haben aber ich setze keine VHosts ein sondern ich nutze das Apache Modul
Mod_Rewrite. Dadurch kann ich keine Anweisungen zusätzlich wie bei anderen die Vhosts
nutzen in den <VirtualHost> eintragen zB: php_admin_flag safe_mode On.
Deswegen habe ich nun in der php.ini den "safe_mode" auf Off damit einige ältere Scripts auch
weiterhin laufen. Aber das ist mir einfach zu unsicher, denn wer sich mit PHP etwas gut
auskennt (ich persönlich nicht) der Programmiert sich ein Script überträgt es per FTP auf
den Server und kann dann über Browser wenn der "safe_mode" auf Off steht
bis ins Wurzelverzeichnis des Servers gelangen und diverse Datein ansehen etc....
Das stellt ja eine absolute Sicherheitslücke dar wenn "safe_mode" auf Off ist.
Kann man das irgendwie lösen damit in der php.ini die Option "safe_mode" auf Off bleibt aber
man keine Möglichkeit hat (wie oben beschrieben) sich aus seinem HomeVerzeichnis zu bewegen ?
Also das man keine Chance mehr hat über ein selbst Programmiertes Script bis ins Wurzelverzeichnis des
Server gelangen kann ?
PHP-safe_mode Problem !!!
-
feltel
- Webmaster
- Beiträge: 10476
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Apache (und damit auch PHP) in einer chroot einsperren, aber genaueres kann ich dir auch nicht sagen, da ich es selbst noch nie gebraucht hab.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM