Misschien een tip, aangezien jullie nu toch al je systemen aan het patchen zijn: gisteren heb ik nogal wat leuke info op servers voorbij zien komen, nav. een php bugje mbt. ini_restore() (http://www.securityfocus.com/archive/1/445651/30/0/threaded).

Misschien dat jullie hier nog even naar kunnen kijken. Weer iets te doen op deze mooie zondag :)

Groetjes.

Edit: topic min DA

Dit heeft niks met DirectAdmin te maken, het betreft hier om een php bug en geen directadmin bug. Dit kan op elk willekeurig system met of zonder control panel.

Dit heeft niks met DirectAdmin te maken, het betreft hier om een php bug en geen directadmin bug. Dit kan op elk willekeurig system met of zonder control panel.
Klopt, is ook zo.
Maar ik weet dat DA het standaard zo heeft ingesteld en ik werk niet met andere cp's. Op een eigen ingerichte server is het een ander verhaal omdat je dan weet dat je niet op een standaard install kunt vertrouwen en hier dus waarschijnlijk wel aan denkt.

Als het verhaal goed gelezen wordt vind ik het nog niet eens vallen onder een bug, als jouw php.ini bepaalde waardes bevat die overruled worden door een vhost, kun je met die ini_restore teruggaan naar php.ini instellingen ipv de vhost instellingen. Functie is er niet voor niets :)


Warning: main() [function.main]: SAFE MODE Restriction in effect. The script whose uid is 12007 is not allowed to access /etc/passwd owned by uid 0 in /home/admin/domains/****/public_html/test1.php on line 7
Warning: main(/etc/passwd) [function.main]: failed to open stream: Success in /home/admin/domains/****/public_html/test1.php on line 7
Warning: main() [function.main]: SAFE MODE Restriction in effect. The script whose uid is 12007 is not allowed to access /etc/passwd owned by uid 0 in /home/admin/domains/****/public_html/test1.php on line 7
Warning: main(/etc/passwd) [function.main]: failed to open stream: Success in /home/admin/domains/****/public_html/test1.php on line 7
Warning: main() [function.include]: Failed opening '/etc/passwd' for inclusion (include_path='.:/usr/local/php4/lib/php') in /home/admin/domains/****/public_html/test1.php on line 7
Warning: main() [function.main]: SAFE MODE Restriction in effect. The script whose uid is 12007 is not allowed to access /etc/passwd owned by uid 0 in /home/admin/domains/****/public_html/test1.php on line 17
Warning: main(/etc/passwd) [function.main]: failed to open stream: Success in /home/admin/domains/****/public_html/test1.php on line 17
Warning: main() [function.main]: SAFE MODE Restriction in effect. The script whose uid is 12007 is not allowed to access /etc/passwd owned by uid 0 in /home/admin/domains/****/public_html/test1.php on line 17
Warning: main(/etc/passwd) [function.main]: failed to open stream: Success in /home/admin/domains/****/public_html/test1.php on line 17
Warning: main() [function.include]: Failed opening '/etc/passwd' for inclusion (include_path='.:/usr/local/php4/lib/php') in /home/admin/domains/****/public_html/test1.php on line 17

en al zou je het bestand kunnen lezen, not a big deal. hij is readable voor iedereen :)

Als het verhaal goed gelezen wordt vind ik het nog niet eens vallen onder een bug, als jouw php.ini bepaalde waardes bevat die overruled worden door een vhost, kun je met die ini_restore teruggaan naar php.ini instellingen ipv de vhost instellingen. Functie is er niet voor niets :)


Warning: main() [function.main]: SAFE MODE Restriction in effect. The script whose uid is 12007 is not allowed to access /etc/passwd owned by uid 0 in /home/admin/domains/****/public_html/test1.php on line 7
Warning: main(/etc/passwd) [function.main]: failed to open stream: Success in /home/admin/domains/****/public_html/test1.php on line 7
Warning: main() [function.main]: SAFE MODE Restriction in effect. The script whose uid is 12007 is not allowed to access /etc/passwd owned by uid 0 in /home/admin/domains/****/public_html/test1.php on line 7
Warning: main(/etc/passwd) [function.main]: failed to open stream: Success in /home/admin/domains/****/public_html/test1.php on line 7
Warning: main() [function.include]: Failed opening '/etc/passwd' for inclusion (include_path='.:/usr/local/php4/lib/php') in /home/admin/domains/****/public_html/test1.php on line 7
Warning: main() [function.main]: SAFE MODE Restriction in effect. The script whose uid is 12007 is not allowed to access /etc/passwd owned by uid 0 in /home/admin/domains/****/public_html/test1.php on line 17
Warning: main(/etc/passwd) [function.main]: failed to open stream: Success in /home/admin/domains/****/public_html/test1.php on line 17
Warning: main() [function.main]: SAFE MODE Restriction in effect. The script whose uid is 12007 is not allowed to access /etc/passwd owned by uid 0 in /home/admin/domains/****/public_html/test1.php on line 17
Warning: main(/etc/passwd) [function.main]: failed to open stream: Success in /home/admin/domains/****/public_html/test1.php on line 17
Warning: main() [function.include]: Failed opening '/etc/passwd' for inclusion (include_path='.:/usr/local/php4/lib/php') in /home/admin/domains/****/public_html/test1.php on line 17

en al zou je het bestand kunnen lezen, not a big deal. hij is readable voor iedereen :)
Over goed lezen gesproken... heb je ook gelezen dat ini_restore() alleen is om de config terug te zetten die met ini_set() is gewijzigd?
Zeer zeker niet om de globale instelling terug te kunnen halen. ;)

Die ini_set werkt alleen als hij matched met de php.ini. Je kan de vhost instellingen overrulen.

Ik heb het hier niet over wat goed of fout mbt. instellingen is. Dat mag ieder voor zichzelf bepalen. Jij mag er ook over denken zoals je wil.
Het gaat erom dat er toch weer veel mensen onbedoeld hun gegevens naar buiten zijn aan het spuien. Dat dit bij een aantal personen (waaronder jij) in mindere mate een probleem is, is imho niet eens relevant.

Fijn dat je wel kritisch naar dingen kijkt ;)

Klopt, is ook zo.
Maar ik weet dat DA het standaard zo heeft ingesteld en ik werk niet met andere cp's. Op een eigen ingerichte server is het een ander verhaal omdat je dan weet dat je niet op een standaard install kunt vertrouwen en hier dus waarschijnlijk wel aan denkt.

In DA is standaard toch geen open_basedir ingesteld?

Als je in je php.ini Safemode gewoon aan heb staan, is er geen probleem.
Dan kan je indien nodig safe_mode weer uit zetten in je httpd config.

In DA is standaard toch geen open_basedir ingesteld?

Als je in je php.ini Safemode gewoon aan heb staan, is er geen probleem.
Dan kan je indien nodig safe_mode weer uit zetten in je httpd config.

Ja, dat is zo, maar dat heeft niet iedereen.

DA zegt:

It's best to avoid a global "on" for safemode and open_basedir as they break things like webmail, etc.. but our version turns it on for a per-virtualhost basis, allowing webmail to function correctly.

Wat moet ik hieruit halen ?

Dat je dus global safe_mode AAN moet zetten,
en dan in de <directory "/var/www/html">

php_admin_flag safe_mode OFF moet zetten.
Dan werkt webmail gewoon *zonder safe_mode*, en is het wel global.

Oftewel directadmin lijkt niet echt een oplossing te zoeken (of dit moet slecht zijn voor peformace of iets dergelijks)