Apache2, brugere har adgang til hinandens filer?
Jeg har et mindre sikkerheds problem, som jeg ikke helt kan dreje.
Apache2, kører med vhosts, for flere domæner.
Domænerne ligger f.eks. således.
example1.com:
/sti/til/domains/example1.com/
example2.com
/sti/til/domains/example2.com/
Hver af disse domains har så hver sin vhost, og man kan fint besøge siderne.
Problemet er bare, at man med et simpelt perl eller php script kan vise filerne, eller indholdet af filerne i hinandens mapper ved at gå et skridt tilbage (../) eller (../../), afhængig af diret.
Det er faktisk enda muligt at lave tricket med / hvilket er endnu værre!
Dvs. man kan altså "komme ud" af sit documentroot, hvilket jeg ikke bryder mig om.
Hvordan løser jeg lige dette? Apache skal jo stadig have læse adgang til alle filerne for at kunne vise dem?
Apache2, kører med vhosts, for flere domæner.
Domænerne ligger f.eks. således.
example1.com:
/sti/til/domains/example1.com/
example2.com
/sti/til/domains/example2.com/
Hver af disse domains har så hver sin vhost, og man kan fint besøge siderne.
Problemet er bare, at man med et simpelt perl eller php script kan vise filerne, eller indholdet af filerne i hinandens mapper ved at gå et skridt tilbage (../) eller (../../), afhængig af diret.
Det er faktisk enda muligt at lave tricket med / hvilket er endnu værre!
Dvs. man kan altså "komme ud" af sit documentroot, hvilket jeg ikke bryder mig om.
Hvordan løser jeg lige dette? Apache skal jo stadig have læse adgang til alle filerne for at kunne vise dem?
Kommentarer3
mod_suexec
Det har jeg godt kigget på,
Men jeg kan bare ikke se hvordan desværre.
Umiddelbart så mister man jo så fordelen ved at oprette virtuelle brugere.
Jeg har delvist løst det
Det er nødvendigt at oprette brugerne fysisk på serveren.
Nu har brugerne ikke adgang til hinandens filer længere, MEN det er stadig muligt at læse indholdet / f.eks. da "andre" har adgang til dette.
apache2-mpm-peruser skulle dog kunne løse dette.