[gentoo-user-de] Apache: Rechte für .php files richtig setzen?

[gentoo-user-de] Apache: Rechte für .php files richtig setzen?

[Cyrill Helg]

Hallo Liste

Ich habe mir einen kleinen webserver mit cms gebastelt. Wie kann ich nun 
verhindern, dass die php files heruntergeladen werden können? Ich nehme an, 
dass dies in der Apache Konfiguration geschiet, nur bin ich etwas faul die 
Direktive zu suchen...

Besten Dank für eure Hilfe

-- 
gentoo-user-de@gentoo.org mailing list

RE: [gentoo-user-de] Apache: Rechte für .php files richtig setzen?

[Maillinglisten]

> Hallo Liste
> 
> Ich habe mir einen kleinen webserver mit cms gebastelt. Wie kann ich nun
> verhindern, dass die php files heruntergeladen werden können? Ich nehme
> an,
> dass dies in der Apache Konfiguration geschiet, nur bin ich etwas faul die
> Direktive zu suchen...
> 
> Besten Dank für eure Hilfe

less /usr/doc/php-*/INSTALL.gz



-- 
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] Apache: Rechte für .php files richtig setzen?

[Cyrill Helg]

Am Dienstag 02 August 2005 18.15 schrieb Maillinglisten:
> > Hallo Liste
> >
> > Ich habe mir einen kleinen webserver mit cms gebastelt. Wie kann ich nun
> > verhindern, dass die php files heruntergeladen werden können? Ich nehme
> > an,
> > dass dies in der Apache Konfiguration geschiet, nur bin ich etwas faul
> > die Direktive zu suchen...
> >
> > Besten Dank für eure Hilfe
>
> less /usr/doc/php-*/INSTALL.gz

Bis jetzt, habe ich da noch nichts gefunden.

thx anyway

-- 
gentoo-user-de@gentoo.org mailing list

RE: [gentoo-user-de] Apache: Rechte für .php files richtig setzen?

[Olaf Niermann]

Hallo Cyrill,

> > less /usr/doc/php-*/INSTALL.gz
> 
> Bis jetzt, habe ich da noch nichts gefunden.

Gemeint war wohl das Verzeichnis /usr/share/doc/php-*

Weitere Denkanstöße können Dir vielleicht auch noch folgende Seiten liefern:

http://www.securityfocus.com/infocus/1706
http://www.securityfocus.com/infocus/1786
http://www.securityfocus.com/infocus/1818

Gruß, Olaf


-- 
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] Apache: Rechte für .php files richtig setzen?

[Cyrill Helg]

Am Dienstag 02 August 2005 19.16 schrieb Olaf Niermann:
> Hallo Cyrill,
>
[...]
>
> Gemeint war wohl das Verzeichnis /usr/share/doc/php-*
>
> Weitere Denkanstöße können Dir vielleicht auch noch folgende Seiten
> liefern:

Besten Dank, das war eigentlich das was ich gesucht habe. Schliesslich gehts 
ja nicht nur um die php files ;)

>
[..]
>
> Gruß, Olaf

Gruss Cyrill

-- 
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] Apache: Rechte für .php files richtig setzen?

[Sebastian Damm]

[-- Attachment #1: Type: text/plain, Size: 956 bytes --]

Hallo,

Am 02. August 2005 schrieb Cyrill Helg:
> Ich habe mir einen kleinen webserver mit cms gebastelt. Wie kann ich
> nun verhindern, dass die php files heruntergeladen werden können? 

Wenn in Deiner /etc/conf.d/apache2 in der Variable APACHE2_OPTS
irgendwo "-D PHP4" steht, sollten PHP-Dateien immer ausgeführt werden
und damit kann nie nie nie der Quelltext davon runtergeladen werden.
Die Datei /etc/apache2/conf/modules.d/70_mod_php.conf sorgt dafür, dass
Dateien mit der entsprechenden Endung auch durch den PHP-Parser gejagt
werden.

Beantwortet das Deine Frage? Falls Du aber auf Absicherung gegen User
auf dem gleichen Server abziehlst, da hilft dann evtl. PHP als CGI,
dann musst nur Du als Ersteller Rechte auf die Datei haben. 

HTH
Sebastian
-- 
Sebastian Damm
Blog: http://blog.sdamm.de
GPG-Encrypted mail welcome! ID: 0x64D96827 @ pgpkeys.pca.dfn.de
Fingerprint: CB7F F23F D950 644D 838B  215A 550F 75EC 64D9 6827

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [gentoo-user-de] Apache: Rechte für .php files richtig setzen?

[Cyrill Helg]

Am Dienstag 02 August 2005 19.39 schrieb Sebastian Damm:
> Hallo,
>
> Am 02. August 2005 schrieb Cyrill Helg:
> > Ich habe mir einen kleinen webserver mit cms gebastelt. Wie kann ich
> > nun verhindern, dass die php files heruntergeladen werden können?
>
> Wenn in Deiner /etc/conf.d/apache2 in der Variable APACHE2_OPTS
> irgendwo "-D PHP4" steht, sollten PHP-Dateien immer ausgeführt werden
> und damit kann nie nie nie der Quelltext davon runtergeladen werden.
> Die Datei /etc/apache2/conf/modules.d/70_mod_php.conf sorgt dafür, dass
> Dateien mit der entsprechenden Endung auch durch den PHP-Parser gejagt
> werden.
>
> Beantwortet das Deine Frage? Falls Du aber auf Absicherung gegen User
> auf dem gleichen Server abziehlst, da hilft dann evtl. PHP als CGI,
> dann musst nur Du als Ersteller Rechte auf die Datei haben.

Erstmal dank für deine Hilfe. Ich benutze nicht mod_php, sonder starte php per 
fastcgi. Die Idee ist von hier:
http://www.debianhowto.de/howto-archiv/de/apache2-phpfcgi-sarge/c_apache2-phpfcgi-sarge.html

Nun ist aber das Problem, dass man beispielsweise: wget 
http://meinepage.org/index.php 
machen kann und so an meine php files rankommt. Wie kann ich dem apache nun 
mitteilen, dass er diese nicht einfach so rausrücken soll?

Besten Dank

>
> HTH
> Sebastian

-- 
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] Apache: Rechte für .php files richtig setzen?

[Cyrill Helg]

[...]

Übrigens sieht meine config im Moment so aus:

<VirtualHost *:80>
        ServerAdmin xx
        ServerName xx
        ServerAlias xx

        DocumentRoot /var/www/xx/mambo
        DirectoryIndex index.php index.html index.htm

        SuexecUserGroup xx_user xx_group

        <Directory />
                Options FollowSymLinks
                AllowOverride None
        </Directory>

        <Directory /var/www/xx>
                Options FollowSymLinks
                AllowOverride AuthConfig
                Order allow,deny
                allow from all
        </Directory>

        <Directory /var/www/xx/mambo>
                #Options FollowSymLinks
                AllowOverride All
        </Directory>

        ScriptAlias /cgi-bin/ /var/www/php-fcgi-scripts/xx/
        <Directory "/var/www/php-fcgi-scripts/xx">
                AllowOverride None
                Options +ExecCGI -MultiViews -Indexes
                Order allow,deny
                Allow from all
        </Directory>

</VirtualHost>

Das Problem immer noch, dass man per direkte URL einfach alle Files in meinem 
Mambo Ordner holen kann.

Besten Dank für die Hilfe


-- 
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] Apache: Rechte für .php files richtig setzen?

[Sebastian Damm]

[-- Attachment #1: Type: text/plain, Size: 881 bytes --]

Hallo,

Am 02. August 2005 schrieb Cyrill Helg:
> Erstmal dank für deine Hilfe. Ich benutze nicht mod_php, sonder
> starte php per fastcgi. Die Idee ist von hier:
> http://www.debianhowto.de/howto-archiv/de/apache2-phpfcgi-sarge/c_apache2-phpfcgi-sarge.html

Hmm, ich hab es bis jetzt immer nur per mod_php benutzt.

> Nun ist aber das Problem, dass man beispielsweise: wget 
> http://meinepage.org/index.php 

Wenn das wget kann, dann kann das auch jeder Browser, oder? Eigentlich
ist das ein Zeichen dafür, dass die Zuordnung der Endung .php zu PHP
nicht gesetzt ist. Aber bei PHP als CGI klink ich mich aus. Bernd, Du
hast doch da mal was gemacht, sag mal was! ;)

Ciao
Sebastian
-- 
Sebastian Damm
Blog: http://blog.sdamm.de
GPG-Encrypted mail welcome! ID: 0x64D96827 @ pgpkeys.pca.dfn.de
Fingerprint: CB7F F23F D950 644D 838B  215A 550F 75EC 64D9 6827

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [gentoo-user-de] Apache: Rechte für .php files richtig setzen?

[Stephan Wentz]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Sebastian Damm wrote:

>>Nun ist aber das Problem, dass man beispielsweise: wget 
>>http://meinepage.org/index.php 
> 
> 
> Wenn das wget kann, dann kann das auch jeder Browser, oder? Eigentlich
> ist das ein Zeichen dafür, dass die Zuordnung der Endung .php zu PHP
> nicht gesetzt ist. Aber bei PHP als CGI klink ich mich aus. Bernd, Du
> hast doch da mal was gemacht, sag mal was! ;)

Äh nein. Dann hast du entweder ein Problem auf der einen oder auf der
anderen Seite ;-)

Funktionieren deine PHP-Skripte? Also bekommst du reine HTML-Ausgabe zu
sehen? Wenn ja, wie ein wget auch nur diese HTML-Seite bei einem fetch
bekommen. Denn PHP wird Serverseitig prozessiert und spuckt nur HTML
aus, die Befehle selber bekommt der Client nie zu sehen.

AUSSER du hast wie oben beschrieben den Apache noch garnicht so
eingerichtet das er PHP-Dateien ordnungsgemäss per CGI prozessiert, DANN
duerftest du aber auch kein korrektes Ergebnis im Browser angezeigt
bekommen, sondern nur das PHP-Skript als Plaintext. Dann würde wget dies
natürlich auch genauso abholen.

Gruss, Stephan
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (MingW32)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFC8GaS8qQ9XV7tBNQRAq9eAKDnRHWkCCm6iB3n04vo5SZ6/Gg5+QCcDB/r
Toi5w8jqUVeKTgG5hVfuTOw=
=QXQV
-----END PGP SIGNATURE-----

-- 
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] Apache: Rechte für .php files richtig setzen?

[Cyrill Helg]

Am Mittwoch 03 August 2005 08.39 schrieb Stephan Wentz:
[...]

Erstmal besten Dank für deine Ausführungen. Mit den php Dateien scheinst du 
Recht zu haben. Aber das Problem ist auch, dass man mit wget auch Bilder und 
sonstige Files holen kann. Wie schütze ich diese Ordner so, dass mein cms das 
Zeugs lesen kann, jedoch nicht ein User aus dem Web?

> Gruss, Stephan

Grüsse



-- 
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] Apache: Rechte für .php files richtig setzen?

[Stephan Wentz]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Cyrill Helg wrote:
> Am Mittwoch 03 August 2005 08.39 schrieb Stephan Wentz:
> [...]
> 
> Erstmal besten Dank für deine Ausführungen. Mit den php Dateien scheinst du 
> Recht zu haben. Aber das Problem ist auch, dass man mit wget auch Bilder und 
> sonstige Files holen kann. Wie schütze ich diese Ordner so, dass mein cms das 
> Zeugs lesen kann, jedoch nicht ein User aus dem Web?

Auslieferscript benutzen.
Pack die sensitiven Daten ausserhalb des Webroots, benutze eine klasse
wie PEAR::HTTP_Download und liefer die Sachen darüber aus, dann kannst
du naemlich noch eine Checks einbauen, wie z.B. ob eine gültige Session
vorliegt. Setzt natürlich voraus das dein CMS einen vernünftigen
Login-Mechanismus hat. Wenn kein gültiger Login vorhanden ist lieferst
du die Dateien einfach nicht aus und schmeisst nen Fehler, fertig.

Gruss, Stephan
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (MingW32)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFC8J/G8qQ9XV7tBNQRAvuaAJ9iGCSbCAYkDyn6NFzq8buQPa1V8wCg/n3Q
Akzv4ThtpJNd8bzGKbXGM+k=
=gxSh
-----END PGP SIGNATURE-----

-- 
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] Apache: Rechte für .php files richtig setzen?

[Cyrill Helg]

Am Mittwoch 03 August 2005 12.43 schrieb Stephan Wentz:
> Cyrill Helg wrote:
> > Am Mittwoch 03 August 2005 08.39 schrieb Stephan Wentz:
> > [...]
> >
> > Erstmal besten Dank für deine Ausführungen. Mit den php Dateien scheinst
> > du Recht zu haben. Aber das Problem ist auch, dass man mit wget auch
> > Bilder und sonstige Files holen kann. Wie schütze ich diese Ordner so,
> > dass mein cms das Zeugs lesen kann, jedoch nicht ein User aus dem Web?
>
> Auslieferscript benutzen.
> Pack die sensitiven Daten ausserhalb des Webroots, benutze eine klasse
> wie PEAR::HTTP_Download und liefer die Sachen darüber aus, dann kannst
> du naemlich noch eine Checks einbauen, wie z.B. ob eine gültige Session
> vorliegt. Setzt natürlich voraus das dein CMS einen vernünftigen
> Login-Mechanismus hat. Wenn kein gültiger Login vorhanden ist lieferst
> du die Dateien einfach nicht aus und schmeisst nen Fehler, fertig.

Habe ich mir auch schon überlegt, scheint aber zu kompliziert zu sein. Müsste 
ich denn in der apache Konfiguration jeden Ordner angeben um den Zugriff zu 
verweigern oder wie kann ich das rekursiv erledigen?

> > 
> Gruss, Stephan

-- 
gentoo-user-de@gentoo.org mailing list

Re: [gentoo-user-de] Apache: Rechte für .php files richtig setzen?

[Sebastian Damm]

[-- Attachment #1: Type: text/plain, Size: 1703 bytes --]

Hallo,

Am 03. August 2005 schrieb Cyrill Helg:
> Aber das Problem ist auch, dass man mit wget auch Bilder und sonstige
> Files holen kann. Wie schütze ich diese Ordner so, dass mein cms das
> Zeugs lesen kann, jedoch nicht ein User aus dem Web?

Wie soll das zu verstehen sein? Du willst irgendwo Bilder in Deine
Seiten einbinden, aber kein User aus dem Web kann die abrufen? Das is
ja albern. ;)

Alles was Du in Deine Seite einbindest, muss auch einzeln abrufbar
sein. Denn wenn Du Dir mal eine Seite mit Bildern im Log anschaust,
wirst Du sehen, dass für jedes Bild ein eigener Aufruf stattfindet. OK,
man könnte noch Methoden einbauen, dass der Referer auf den
einbindenenden Artikel zeigen muss, jedoch ist das Mitsenden von
Referern optional und in manchen Browsern deaktivierbar. Diese würden
dann keine Bilder zu sehen bekommen. Falls Du das trotzdem willst, das
geht entweder per .htaccess oder halt per PHP-Skript, welches
irgendwelche Checks ausführt bevor es das Bild ausliefert. In dem Fall
wäre auch noch eine Möglichkeit der Überprüfung auf einen angemeldeten
User denkbar, aber ich denke doch mal nicht, dass nur authorisierte
User die Bilder zu sehen bekommen sollen, oder?

Also Bilder schützen vor Zugriffen von außen (z.B. direktes Verlinken
von fremden Seiten ist praktisch nicht machbar. 

Noch bisschen was zum Lesen für die Verwendung des Referers:
http://www.php-faq.de/q/q-http-referer.html
http://www.php-resource.de/forum/showthread/t-20898.html

Ciao
Sebastian
-- 
Sebastian Damm
Blog: http://blog.sdamm.de
GPG-Encrypted mail welcome! ID: 0x64D96827 @ pgpkeys.pca.dfn.de
Fingerprint: CB7F F23F D950 644D 838B  215A 550F 75EC 64D9 6827

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [gentoo-user-de] Apache: Rechte für .php files richtig setzen?

[Cyrill Helg]

Am Donnerstag 04 August 2005 08.33 schrieb Sebastian Damm:
> Hallo,
>
> Am 03. August 2005 schrieb Cyrill Helg:
[...]
>
> Wie soll das zu verstehen sein? Du willst irgendwo Bilder in Deine
> Seiten einbinden, aber kein User aus dem Web kann die abrufen? Das is
> ja albern. ;)

Hmm ja stimmt... bin ich blöd oder was...

>
> Alles was Du in Deine Seite einbindest, muss auch einzeln abrufbar
> sein. Denn wenn Du Dir mal eine Seite mit Bildern im Log anschaust,
> wirst Du sehen, dass für jedes Bild ein eigener Aufruf stattfindet. OK,
> man könnte noch Methoden einbauen, dass der Referer auf den
> einbindenenden Artikel zeigen muss, jedoch ist das Mitsenden von
> Referern optional und in manchen Browsern deaktivierbar. Diese würden
> dann keine Bilder zu sehen bekommen. Falls Du das trotzdem willst, das
> geht entweder per .htaccess oder halt per PHP-Skript, welches
> irgendwelche Checks ausführt bevor es das Bild ausliefert. In dem Fall
> wäre auch noch eine Möglichkeit der Überprüfung auf einen angemeldeten
> User denkbar, aber ich denke doch mal nicht, dass nur authorisierte
> User die Bilder zu sehen bekommen sollen, oder?

Nun dieses Feature kann ich eigentlich über das cms bereits nutzen. Es geht 
also nicht um das :)

>
> Also Bilder schützen vor Zugriffen von außen (z.B. direktes Verlinken
> von fremden Seiten ist praktisch nicht machbar.

Ok

>
> Noch bisschen was zum Lesen für die Verwendung des Referers:
> http://www.php-faq.de/q/q-http-referer.html
> http://www.php-resource.de/forum/showthread/t-20898.html

Besten Dank

>
> Ciao
> Sebastian

Ciao und nochmals vielen Dank!

Cyrill Helg

-- 
gentoo-user-de@gentoo.org mailing list