Zijn er hier mensen die php limiteren, zodat gebruikers mekaars bestanden niet zomaar kunnen zien e.d.? En zoja hoe doen die dat?

Ik gebruik openbasedir
Dat geef je mee als een php_flag bij de virthost in apache zo kan de php gebruiker niet terug uit de eigen map
Ik zal zo even een voorbeeld pakken.

Origineel geplaatst door Deimos
Zijn er hier mensen die php limiteren, zodat gebruikers mekaars bestanden niet zomaar kunnen zien e.d.? En zoja hoe doen die dat?

Open base dir gebruiken we all, dit is overigens wel wat anders dan safe modus. Omdat je alleen dir limiteerd.

Maar valt wel onder het kopje.
Je kan ook in de php.ini functions uit zetten zo als system, exec, etc etc
De nieuwe systeem werkt via
open_basedir en safe_mode en waarchijnlijk zetten wij functies uit zo als system, exec

Origineel geplaatst door Deimos
Open base dir gebruiken we all, dit is overigens wel wat anders dan safe modus. Omdat je alleen dir limiteerd.

met safemode staan die opties al uit.

Webhostingtalk bezig met testen ?


Warning: open_basedir restriction in effect. File is in wrong directory in /home/webhosti/public_html/forum/global.php on line 182

Warning: fopen("/proc/loadavg", "r") - Operation not permitted in /home/webhosti/public_html/forum/global.php on line 182

Warning: fclose(): supplied argument is not a valid File-Handle resource in /home/webhosti/public_html/forum/global.php on line 184

Warning: Cannot add header information - headers already sent by (output started at /home/webhosti/public_html/forum/global.php:182) in /home/webhosti/public_html/forum/admin/functions.php on line 1799

Yup, heb wat ideetjes gekregen en ben ze aan het testen :)

Beter eerst proberen op een test server op kantoor of thuis?
Dat doe ik, krijgen de bezoekers ook geen harde error berichten.

Origineel geplaatst door Domenico
Yup, heb wat ideetjes gekregen en ben ze aan het testen :)

Ja maar dit was relateerd aan de geinstalleerde vBulletin en het was maar 20 seconden :)

20 seconden te veel :P Zolang kan ik wht niet missen hoor! :D

[BOT]

Zijn er eigenlijk nog meer php instellingen wleke je goed kan limiteren. Behalve openbase dir en safe mode? Want alles moet zo dicht mogelijk uiteraard.

Origineel geplaatst door Deimos
20 seconden te veel :P Zolang kan ik wht niet missen hoor! :D

[BOT]

Zijn er eigenlijk nog meer php instellingen wleke je goed kan limiteren. Behalve openbase dir en safe mode? Want alles moet zo dicht mogelijk uiteraard.

PHP Afsluiten voor je gebruikers?
Ik ga er later in verdiepen...
Dan vertel ik alles wel wat ik heb gevonden.

Origineel geplaatst door Deimos
20 seconden te veel :P Zolang kan ik wht niet missen hoor! :D

[BOT]

Zijn er eigenlijk nog meer php instellingen wleke je goed kan limiteren. Behalve openbase dir en safe mode? Want alles moet zo dicht mogelijk uiteraard.


Je kan ook gebruik maken van chroot jail maar ook daar is door de persoon die weet wat hij doet uit te breken.

Beter is om telnet (beter geen telnet maar SSH2) als default uit te schakelen. Als een user er om vraagt kun je vragen waarom hij het nodig heeft en als je toegang geeft kun je de user monitoren natuurlijk maar ik vraag me echt af waarom een een gewone user nu eigenlijk ssh toegang voor nodig heeft in een shared omgeving. :confused:
Om te snoopen?

Wat je ook goed in orde moet hebben zijn je file permissies.
chmod 711 /home bijvoorbeeld maakt de dir onzichtbaar voor de user die probeert te kijken wat er allemaal aanwezig is.
Als je de file permissies niet goed hebt ingesteld ben je natuurlijk heel erg kwetsbaar.

Permissies zijn uiteraard ook al goed ingesteld en klanten krijgen in principe geen SSH2 toegang. Alleen indien ze het echt ergens nodig voor hebben bijv. Makkelijk backuppen van SQL db e.d.

Maar meestal schrijven we daarvoor een klein Shell scriptje dat met cron draait zodat de user ze kan downloaden via ftp zonder shell access te hebben om de backups te maken.

phpMyAdmin 2.2.6 en hoger vind ik erg makelijk met backupen.
En je krijgt hem ook mooi ingepakt dat het niet te groot wordt.
Makelijker dan mysqldump en mysql.

Origineel geplaatst door Deimos
Permissies zijn uiteraard ook al goed ingesteld en klanten krijgen in principe geen SSH2 toegang. Alleen indien ze het echt ergens nodig voor hebben bijv. Makkelijk backuppen van SQL db e.d.

Maar meestal schrijven we daarvoor een klein Shell scriptje dat met cron draait zodat de user ze kan downloaden via ftp zonder shell access te hebben om de backups te maken.

Dat werkt idd hartstikke fijn totdat een klant een SQL db heeft van ruim 20 mb ingepakt. Dan is een shell script opzetten toch eens tukje effectiever te meer omdat je dan kan resumen met het downloaden van je SQL dump. Dit is via phpmyadmin niet mogelijk.

20 mb via PHP downloaden is vrijwel onmogelijk vanwege de timeout.

Origineel geplaatst door Domenico
20 mb via PHP downloaden is vrijwel onmogelijk vanwege de timeout.


set_time_limit(0);

Werkt in iedergeval onder CGI mode.

Kan inderdaad maar helaas zijn de meeste connecties niet echt stabiel. En dan doel ik op connecties als kabel e.d. En dan is resume toch wel lekker.

20mb? Als er iemand is die dat ooit gelukt is in een huis-tuin-keuken situatie dan hoor ik dat graag :)

StarInternet heeft speciaal voor de WebHostingTalk members dit apache script gemaakt.


<IfModule !mod_php4.c>
<Files ~ "\.(php|php3|php4)$">
deny from all
</Files>
</IfModule>

Hij is gratis te gebruiken.
Wat doet het? nou als de php module uitvalt worden automatich alle .php, .php3, .php4 afgesluiten voor de buitenwereld.
Ik heb het getest en werkt perfect!

[alleen voor Domenico]
Even wachten waneer ik bij webhostingtalk.nl een forbidden bericht krijg ;-)
[/alleen voor Domenico]