Joomla kompakt - Brain-Media.de Brain-Media.de

400 Sicherheit
der Datei zu übergeben, die durch das CGI-Programm geöffnet und interpretiert
werden soll. Normalerweise werden einige Einträge in der Konfigurationsdatei
des Webservers benutzt (Apache: Action), um Aufrufe von
Dokumenten an den PHP-Interpreter umzuleiten. Unglücklicherweise
wird, wenn der Aufruf bereits in dieser Form geschieht, vom Webserver
keine Zugriffsüberprüfung der Datei /secret/script.php, sondern lediglich
der Datei /cgi-bin/php vorgenommen. So ist jeder Benutzer, der auf /cgibin/php
zugreifen darf, in der Lage, sich zu jedem geschützten Dokument
auf dem Webserver Zugriff zu verschaffen.
• Bei PHP kann die Konfigurationsoption --enable-force-cgi-redirect und
zur Laufzeit die Konfigurationsdirektiven doc_root und user_dir verwendet
werden, um diesen Angriff zu verhindern.
13.2.4 Apache-Einstellungen
Auch die Konfiguration des Apache-Webservers hat großen Einfluss auf die Sicherheit
der Umgebung. Dabei wird häufig der Fehler gemacht, dem Apache Root-
Rechte zu erteilen. Problematisch ist außerdem das Ausweiten der Möglichkeiten
von Apache. Insbesondere die Ausweitung der Benutzerrechte für Apache auf Root
ist äußerst problematisch, denn das gesamte System kann in Mitleidenschaft gezogen
werden. Doch auch hierfür gibt es recht einfache Lösungen.
Mit open_basedir() kann man beispielsweise kontrollieren, welche Verzeichnisse
PHP verwenden dürfen und welche nicht. Man kann auch Bereiche nur für Apache
einrichten, um alle webbasierten Aktivitäten auf Nicht-Benutzer- bzw. Nicht-
System-Dateien einzuschränken. Dazu sollte man alle htaccess-Dateien um folgenden
Code erweitern:
Order allow,deny
Deny from all
Natürlich sollte auch die Datei .htaccess geschützt werden. Nun schützt man die
Datei vor Angreifern, denn sie soll ja für alle lesbar und für den Besitzer schreibbar
sein:
chmod 655 .htacsess
www.brain-media.de