Bezpieczeństwo..., PHP4+Apache+Windows Opcje

[flasht]

Witam;-)
Chcialbym udostepnic pewny osobom moj serwer, zeby potestowaly sobie php'a... jednak sa to totalnie obce mi osoby... co i jak ustawic, zeby serwer byl bezpieczny? Zeby nic nie mogli nabroic... Zalozmy ze beda mogli sobie miec swoj folder w ktorym wszystko beda mogli robic, ale nie beda mogli dotykac niczego innego w zaden sposob...

[dr_bonzo]

To bedzie duzo trudniejsze niz zainstalowanie im na ich kompach apacha z php i db.
NA jakim systemie masz php -- windows czy unix/linux?
--------
EDIT: sorry -- nie zajrzalem do tematu

Ten post edytował dr_bonzo 7.04.2005, 19:20:12

[flasht]

Ahh... zapomnialem przepisac z tematu... PHP4 + Apache + Windows 2003 Server.

Ten post edytował flasht 7.04.2005, 17:58:30

[Wave]

a może eftepa na hasło?

[FiDO]

Tez tak swego czasu udostepnialem komus w akademiku swojego apacha do jakiegos projektu. Z tego co pamietam to napewno w "jego" katalogu wylaczylem obsluge .htaccess, zeby nie mogl wplynac mi na konfiguracje apacha. Do tego troche bardziej restrykcyjne ustawienia php, bo jak wiadomo na windowsie praw praktycznie nie ma (byc moze zadzialalaby zmiana konta z ktorego sie odpala apache na jakies nowe konto i zabranie praw temu kontu na wszystkich dyskach, ale to bardzo niewygodne rozwiazanie), wiec normalnie moglby sobie wylistowac zawartosc wszystkich moich dyskow i podgladac zawartosc plikow. Tutaj z pomoca przyszedl open_basedir ustawiony z poziomu httpd.conf na jego katalog.
Dodatkowo mozna jeszcze ustawic, zeby na swoje konta mogli wchodzic tylko oni (Allow from numer_ip dla katalogu).
Do tego wszystkiego oczywiscie osobne konto na ftp, tak zeby na nim bylo "widac" tylko ich katalog.

PS. przenosze na forum Apache (temat dotyczy konfiguracji serwera).

[flasht]

Bylbym wdzieczny za dokladna instrukcje... niestety nie znam sie na tym tak bardzo... ;-( A co z odpalaniem wlasnych programow? Przeciez tak naprawde uploadujac swoj program i odpalajac go, mozna zrobic WSZYSTKO.... :-(

[FiDO]

Niestety ale teraz nie zdaze.. za chwile wychodze na autobus do domu. Moze jutro wieczorem napisze jak do tej pory nie uzyskasz odpowiedzi.

Apropo odpalania programow.. o tym tez zapomnialem wspomniec.. trzeba zablokowac wywolywanie funkcji exec" title="Zobacz w manualu PHP" target="_manual i wszystkich innych z tej rodziny.

[Wave]

Chyba mu chodzi o skrypty. Jeżeli z poziomu serwera nie bedzie dostępu do reszty katalogów to skrypt tym bardziej nie dostanie uparwnien.

[flasht]

Chodzi mi o to, zeby osoba, ktora ma sobie u mnie konto i moze korzystac z serwera www z php nie mogla nic robic poza swoim folderem...

FiDO bardzo bym prosil o pomoc...

[FiDO]

Na koncu httpd.conf dopisujesz nastepujace linijki:

Kod

<Directory "{katalog1}">
    php_admin_value open_basedir {katalog1}
    php_admin_value disable_functions exec,system,passthru,popen,proc_open,shell_exec

    AllowOverride None
    Order deny,allow
    Deny from all
    Allow from {ip1}

</Directory>

Alias /{nazwa1} {katalog1}

{katalog1} - katalog, ktory udostepniasz pierwszej osobie
{ip1} - adres IP pierwszej osoby
{nazwa1} - nazwa konta pierwszej osoby (zeby sie dostac na swoja strone, bedzie musial wpisac http://Twoj_adres/jego_nazwa )

Analogicznie robisz dla drugiej osoby, zmieniajac tylko nazwe, ip oraz katalog.

Co do konfiguracji ftp to juz nic nie napisze, bo nie wiem czego uzywasz, to jest latwiejsza czesc, wiec powinienes sobie poradzic, jesli serwer ftp ma intuicyjna konfiguracje.

[miszz]

a ja proponuje zainteresowac sie systemami z rodziny unix i zamknac wszystko w jailu.
FreeBSD rox!

[flasht]

Na koncu httpd.conf dopisujesz nastepujace linijki:

Kod

<Directory "{katalog1}">
   php_admin_value open_basedir {katalog1}
</Directory>

Alias /{nazwa1} {katalog1}

Problem w tym, ze jak cos takiego robie, to mi wiekszosc skryptow nie chce dzialac... wyskakuje odrazu mnostwo bledow..

[FiDO]

Podaj kilka z nich...