Mehrere Benutzer und private Verzeichnisse mit Apache

fantast · 13.01.2005, 15:25

Folgendes Szenario. Ich habe einen Server, dieser wiederum ein Verzeichnis, nennen wir es /srv/www. In diesem Verzeichnis liegen die Webauftritte mehrerer Personen /srv/www/kunde1, /srv/www/kunde2.
Der Apache muss mindestens Leserechte auf die Verzeichnisse haben. Wie kann ich nun verhindern, dass Kunde1 mit einem Script per Apache das Verzeichnis von Kunde2 ausliest ?
Oder noch konkreter: Kunde2 hat in /srv/www die Zugangsdaten fuer seine Datenbank liegen. Ausserhalb des DocRoots. Der Apache muss trotzdem drauf zugreifen duerfen. Wie verhindere ich, dass Kunde1 sie auch auslesen kann (via Apache) ?
Mir faellt nix passendes ein...

edit: einige Ergaenzungen noch: fuer jeden Kunden ist ein VirtualServer eingerichtet, der auf das Verzeichnis des jeweiligen Kunden zeigt. Mit PHP ist es dennoch moeglich auch oberhalb des DocRoots Dateien zu lesen.
Ich habe mir grade das Apache-Manual angeschaut, mpm_perchild ist noch nicht aktiv, so wie ich das sehe, und mod_suexec kommt daher nicht in Betracht, da ich PHP als Modul, nicht als CGI-Programm benutze...

13.01.2005, 15:29

machst du für jeden kunden eigene gruppe gibst der gruppe nur rechte auf ihr verzeichniss und setzt die verzeichnissrechte mit 770

schribet der user a nun ein script dass mit seinen rechten auf user b zugreifen will, verweigert dass normalerweise, da es keine rechte hat.

fantast · 13.01.2005, 15:32

das problem is aber, wenn das script im apache ausgefuehrt wird, bekommt es die rechte eben jenes. oder gibts ne moeglichkeit das zu aendern ? *httpd.conf rauskram*

fantast · 14.01.2005, 14:46

*schubs* muss doch jemand hier geben, der sich mit sowas auskennt.
ich seh grad, dass ich das falsch gepostet hab, wenn also einer der mods so freundlich waere das nach apache zu verschieben...

Sclot · 14.01.2005, 17:18

nein, das is schon richtig hier im linux forum.

machen kannst du das nur wenn du zum beispiel php als cgi installierst, nicht als apache mopdul, dann freifen alle user mit den userrechten auf die dateien zu, nicht mit die von apachen.

wie das nun mit perl aussieht weiss ich nicht, aber ich denke das es dir um php geht.

verstehst was ich meine?

fantast · 15.01.2005, 00:02

ne klar hab schon kapiert. ich erinnere mich auch mal so was gelesen zu haben. im apache manual steht was von nem mpm namens "perchild", was aehnliches kann, sich allerdings noch in der entwicklung. hm. momentan isses noch nich kritisch, aber moeglicherweise muss ich bald das mal ernsthaft in angriff nehmen. naja gut, werd ich dann wohl auf cgi umstellen muessen.

15.01.2005, 00:21

Zitat:

Zitat von fantast

Mir faellt nix passendes ein...

safe_mode = on
in jeden Virtualhost für jeden Kunden ein separates open_basedir definieren.

Damit Sessions und HTTP Upload möglich sind, müssen die Variablen upload_tmp_dir und session.save_path auf ein Verzeichnis unterhalb von open_basedir zeigen

fantast · 15.01.2005, 03:45

aah, das is dochmal brauchbar. okeh werd ich mal reinschaun, besten dank. bin zwar kein grosser fan von dem safe-mode, tendiere da auch eher zur cgi-loesung aber schaun mer mal...

15.01.2005, 06:33

Zitat:

bin zwar kein grosser fan von dem safe-mode

Der safe_mode ist erforderlich, damit keine System Befehle ausgeführt werden dürfen.
ZB. sowas:

Code:

echo shell_exec('/bin/cat /srv/www/pfad/zu/geheime_datei');

Da schlägt die open_basedir Beschränkung leider nicht zu.

fantast · 17.01.2005, 04:33

wie macht das denn zb confixx. das is auf dem s4y-vserver vorinstalliert und behauptet verschiedene benutzer machen zu koennen. php is hier allerdings als apache-modul hinterlegt. safe_mode is aus. wies mit open_basedir aussieht weiss ich net. gibts da noch ne andere moeglichkeit als die von meikel vorgeschlagene ?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Apache 2.2 & PHP 5.x	freq.9	Server, Hosting und Workstations	26	25.03.2009 21:41
public, protected, private Funktionen	ecomeback	PHP Tipps 2007	10	21.08.2007 02:21
Apache startet nach systemneustart nicht	nexter	Server, Hosting und Workstations	2	26.04.2006 11:10
[Erledigt] Zu blöd um MySQL in PHP einzurichten? Apache Server		PHP Tipps 2006	18	30.01.2006 23:39
[Erledigt] Benutzer in phpbb löschen - per sql-Befehl		Datenbanken	2	23.12.2005 09:52
Apache und IIS?	lomtas	Server, Hosting und Workstations	1	23.11.2005 13:44
[Erledigt] PHP5 mit Apache zum Laufen bringen...		PHP Tipps 2005-2	11	22.10.2005 17:52
Code Syntax Highlighting	imported_Lumio	PHP-Fortgeschrittene	9	16.08.2005 11:06
php Warnung nach Apache Update		PHP Tipps 2005	2	07.02.2005 13:38
mehrere Benutzer arbeiten an einem Datensatz	ajo_silent	Datenbanken	6	20.11.2004 13:52
Verzeichnisse schützen mit PHP		PHP-Fortgeschrittene	15	25.10.2004 09:18
[Erledigt] Apache frisst speicher, Downlad grosser Datein über PHP		Server, Hosting und Workstations	3	28.09.2004 20:07
[Erledigt] Apache 2 Verzeichnisse geben		Server, Hosting und Workstations	5	16.08.2004 16:08
[Erledigt] PHP Modul in Apache laden		Server, Hosting und Workstations	4	09.08.2004 11:36
Apache - php - Mysql Problem		Server, Hosting und Workstations	4	15.07.2004 17:09

13.01.2005, 15:25
fantast Erfahrener Benutzer Registriert seit: 14.01.2004 Beiträge: 2.543	Mehrere Benutzer und private Verzeichnisse mit Apache Folgendes Szenario. Ich habe einen Server, dieser wiederum ein Verzeichnis, nennen wir es /srv/www. In diesem Verzeichnis liegen die Webauftritte mehrerer Personen /srv/www/kunde1, /srv/www/kunde2. Der Apache muss mindestens Leserechte auf die Verzeichnisse haben. Wie kann ich nun verhindern, dass Kunde1 mit einem Script per Apache das Verzeichnis von Kunde2 ausliest ? Oder noch konkreter: Kunde2 hat in /srv/www die Zugangsdaten fuer seine Datenbank liegen. Ausserhalb des DocRoots. Der Apache muss trotzdem drauf zugreifen duerfen. Wie verhindere ich, dass Kunde1 sie auch auslesen kann (via Apache) ? Mir faellt nix passendes ein... edit: einige Ergaenzungen noch: fuer jeden Kunden ist ein VirtualServer eingerichtet, der auf das Verzeichnis des jeweiligen Kunden zeigt. Mit PHP ist es dennoch moeglich auch oberhalb des DocRoots Dateien zu lesen. Ich habe mir grade das Apache-Manual angeschaut, mpm_perchild ist noch nicht aktiv, so wie ich das sehe, und mod_suexec kommt daher nicht in Betracht, da ich PHP als Modul, nicht als CGI-Programm benutze... __________________ Was ist validität?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

13.01.2005, 15:29
Gast Beiträge: n/a	machst du für jeden kunden eigene gruppe gibst der gruppe nur rechte auf ihr verzeichniss und setzt die verzeichnissrechte mit 770 schribet der user a nun ein script dass mit seinen rechten auf user b zugreifen will, verweigert dass normalerweise, da es keine rechte hat.

13.01.2005, 15:32
fantast Erfahrener Benutzer Registriert seit: 14.01.2004 Beiträge: 2.543	das problem is aber, wenn das script im apache ausgefuehrt wird, bekommt es die rechte eben jenes. oder gibts ne moeglichkeit das zu aendern ? httpd.conf rauskram __________________ Was ist validität?

14.01.2005, 14:46
fantast Erfahrener Benutzer Registriert seit: 14.01.2004 Beiträge: 2.543	schubs muss doch jemand hier geben, der sich mit sowas auskennt. ich seh grad, dass ich das falsch gepostet hab, wenn also einer der mods so freundlich waere das nach apache zu verschieben... __________________ Was ist validität?

14.01.2005, 17:18
Sclot Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 2.039	nein, das is schon richtig hier im linux forum. machen kannst du das nur wenn du zum beispiel php als cgi installierst, nicht als apache mopdul, dann freifen alle user mit den userrechten auf die dateien zu, nicht mit die von apachen. wie das nun mit perl aussieht weiss ich nicht, aber ich denke das es dir um php geht. verstehst was ich meine?

15.01.2005, 00:02
fantast Erfahrener Benutzer Registriert seit: 14.01.2004 Beiträge: 2.543	ne klar hab schon kapiert. ich erinnere mich auch mal so was gelesen zu haben. im apache manual steht was von nem mpm namens "perchild", was aehnliches kann, sich allerdings noch in der entwicklung. hm. momentan isses noch nich kritisch, aber moeglicherweise muss ich bald das mal ernsthaft in angriff nehmen. naja gut, werd ich dann wohl auf cgi umstellen muessen. __________________ Was ist validität?

15.01.2005, 03:45
fantast Erfahrener Benutzer Registriert seit: 14.01.2004 Beiträge: 2.543	aah, das is dochmal brauchbar. okeh werd ich mal reinschaun, besten dank. bin zwar kein grosser fan von dem safe-mode, tendiere da auch eher zur cgi-loesung aber schaun mer mal... __________________ Was ist validität?

17.01.2005, 04:33
fantast Erfahrener Benutzer Registriert seit: 14.01.2004 Beiträge: 2.543	wie macht das denn zb confixx. das is auf dem s4y-vserver vorinstalliert und behauptet verschiedene benutzer machen zu koennen. php is hier allerdings als apache-modul hinterlegt. safe_mode is aus. wies mit open_basedir aussieht weiss ich net. gibts da noch ne andere moeglichkeit als die von meikel vorgeschlagene ? __________________ Was ist validität?