Sicherheitsfragen zu LAMP

[ProToniX]

Hi all,

Ich weiss ja das wenn ich ne datei per ftp uploade die unterwegst abgefangen werden kann usq.. das is aber nicht mein prob

Mein problem ist ich habe kundenwebsites gehostet und zwar in /home/userXXXXX soweit auch alles ok

aber wie kann ich es machen das /home/user0001 kein zugriff auf das verzeichniss von /home/user0002 bekommt

ich benutze Debian Unix/GNU 3.0

kann mir da jemand helfen weil das stellt ja ein sicherheits risiko dar

PS: Das Problem liegt nicht bei FTP sondern bei HTTP da kann z.b. ein user ne file ausgeben aus dem verzeichnisses eines anderen kunden (Per PHP)

also gibts da ne möglichkeit oder is das auf jedem webserver heutzutage so ?

 

[Sinac]

Schau dich mal nach chroot um.

 

[ProToniX]

ich glaub ich hab oben mein problem falsch geschildert also nochmals ausführlich

Prob ist !

Kunde lädt z.B. über FTP nen tolles PHP Skript hoch das ihn einfach mal so mit dem apache user durch den Unix Rechner gucken lässt verstanden bis hier *gg*

und dann geht er einfach mal in das user verzeichniss eines anderen und kann da den quellcode eines anderen users ansehen

z.b. PHP datei mit datenbankpasswörtern

finde das ja nicht sehr sicher wenn ein user die scripte eines andern anschaun kann versteht ihr

geht das mit chroot ?

 

[Arne Buchwald]

Wie wär's mal mit Suchen?

Du willst:
[ x ] http://www.suphp.org
[ x ] PHP als CGI + (safe_mode)
[ x ] Perl via suexec