Navigation
Einträge in dieser Kategorie
- Welche Distribution verwenden Sie?
- Habe ich vollen root Zugriff auf meinen V-Server?
- Gibt es Einschränkungen?
- Kann ich "netfilter" auf einem V-Server betreiben?
- Was darf ich auf meinem V-Server laufen lassen?
- Wer ist für die Sicherheit meines V-Servers verantwortlich?
- Kann ich eine Neuinstallation meines V-Servers beantragen?
- Wie logge ich mich in meinen V-Server ein?
- Bind9 will nicht auf meinem V-Server starten.
- Kann man weitere Domains auf seinen V-Server schalten lassen?
- Ist es möglich sich für seinen V-Server einen reverse DNS Eintrag mittels des PTR Flags eintragen zu lassen ?
- Problematic Programs
- Darf ich auf meinem V-Server einen Gameserver laufen lassen?
- Ist es möglich, weitere IP Adressen für meinen V-Server zu erhalten?
- Kann ich auf meinem V-Server auch einen TeamSpeak Server laufen lassen?
- Kann ich das Betriebssystem meines V-Servers nach der Bestellung wechseln?
- Kann ich meinen V-Server upgraden, sofern ich mehr Ressourcen benötige?
- Was passiert, wenn ich meinen Inklusivtraffic verbraucht habe?
- Wie kann ich meinen V-Server neuinstallieren lassen?
- Wie kann ich meinen V-Server rebooten lassen?
- Wie lange dauert es, bis der V-Server eingerichtet ist?
- Was ist ein V-Server eigentlich?
- Bieten Sie Windows NT/2000/XP V-Server?
- Sind erotische Inhalte auf ihren V-Servern erlaubt?
- Kann ich mehrere Domains unter einer IP Adresse hosten?
- Kann ich beim V-Server meinen eigenen Kernel kompilieren?
- Sind die V-Server gemanaged, sprich ob Updates eingespielt und Sicherheitslücken gestopf werden ?
- Kann auf V-Servern ein VPN-Server wie OpenVPN installiert werden?
- Ich habe mein Root-Passwort vergessen!
- Wer ist für die Daten des V-Servers verantwortlich?
- "mc" stürzt beim starten ab mit Segmenation Fault
- Gibt es eine Administrations Software für den V-Server?
- Der Zähler für den verbrauchten Speicherplatz im Kontrollzentrum zeigt einen falschen Wert an
- Ubuntu ist eine Distribution, auf dem das root-Konto grundsätzlich kein Paßwort hat und damit auch ein Login nicht möglich ist. Stattdessen greift man in der Regel über ein anderes Konto und sudo auf root-Funktionalität zurück. Wie logge ich mich in meinem Ubuntu-vServer ein?
- Wieviel Speicherplatz belegt das Betriebssystem?
- Die Uhr auf meinen V-Server geht 2 Stunden nach. Wie kann ich das ändern?
- No space left on device: Couldn't create accept lock (/var/lock/apache2/accept.lock)
- Wie kann ich den Eintrag für das Reverse-DNS ändern?
- Hallo, wie lauten denn die Einstellungen für den FTP Zugang meines V-Servers ?
- Reboot über die Konsole funktioniert nicht.
- PHP ionCube installieren
- Auf dem Vertrag für meinen V-Server fehlt das Image mit Debian und Asterisk?
- Login-Shell per Webinterface
- SSL-Zertifikat selbst erzeugen
- Frei verwendbare DNS-Server
- Kurzanleitung zur zeitgesteuerten Ausführung von Jobs mit "at"
- Probleme nach der Umstellung auf MySQL5
- Kennen Sie eine gute Konfigurationsanleitung für Asterisk?
- Wie kann ich unter CentOS die Zeitzone ändern?
- Warum bin ich gesperrt
- Probleme mit phpBB3 nach dem Upgrade auf MySQL5
- Sicherheitsrelevante PHP-Optionen
- Was bedeutet Shared-Memory?
- PHP Load Module Warnung
- Wie lösche ich den DNS-Cache?
- Apache-Webserver schreibt "apr_socket_accept" ins error.log
- Sind die VServer IPv6 fähig?
- Was versteht man unter Load?
- Neue Regeln für SpamAssassin
- Benutzerpasswörter gegen Wörterbuchattacken schützen
- Was ist /proc/kcore ?
- Debian (sarge): sources.list
- Probleme mit klogd nach Upgrade auf Debian Lenny
- MySQL - Too many connections
- Dienst startet nicht nach einen Reboot
- Paketmanagement unter Debian mit dpkg
- Confixx-Lizenz automatisch verlängern
- Mein Asterisk kann sich nicht mehr bei SIP-Providern registrieren
- httpd Spezial Einträge für Confixx
- Apache: [warn] NameVirtualHost *:80 has no VirtualHosts
Tags
V-Server
Sicherheitsrelevante PHP-Optionen
Nachfolgend erhalten Sie einen kurzen Überblick über die wichtigsten Sicherheitsoptionen von PHP:
allow_url_fopen (empfohlen: off) steuert, ob Dateizugriffe auch auf externe URLs verweisen dürfen oder nicht. Verbietet man dies, fällt es einem Angreifer schwerer, Schadprogramme aus dem Internet nachzuladen. Seit PHP 5.2.0 regelt allow_url_include das Verhalten separat für die Befehle include() und require().
display_errors (empfohlen: off) schaltet die Anzeige von PHP-Fehlermeldungen ein oder aus. Was fürs Debugging hilfreich ist, kann andererseits auch Angreifern Aufschluss über Anwendungsinterna geben, die für weitere Attacken hilfreich sind.
disable_functions spezifiziert eine Liste von gesperrten PHP-Funktionen. Insbesondere PHP-Anwendungen, die unter Sicherheitsapekten entwickelt wurden, machen einen großen Bogen um potenziell gefährliche Funktionen wie exec(), sodass ihr Fehlen ihnen häufig keine Probleme bereitet -- vielen im Umlauf befindlichen Exploits aber sehr wohl.
open_basedir (empfohlen: Web-Home) limitiert die Dateioperationen von PHP auf das angegebene Verzeichnis und darin enthaltene Unterverzeichnisse. Es ist möglich, mehrere Verzeichnisse mit einem Doppelpunkt getrennt anzugeben. Wichtig ist, Pfadangaben mit einem Slash zu beenden, da sie andernfalls auch alle Verzeichnisse einschließen, die mit dem angegebenen Namen beginnen.
register_globals (empfohlen: off) steuert, ob Skripte Parameter aus der URL oder den POST-Daten als globale Variablen übergeben bekommen oder nicht. Viele Schwachstellen in PHP-Anwendungen lassen sich nur ausnutzen, wenn dies der Fall ist.
safe_mode (empfohlen: on) gibt an, ob PHP in einem speziellen abgesicherten Modus laufen soll oder nicht. Er hat weitreichende Auswirkungen, beispielsweise findet bei Dateioperationen ein zusätzlicher UID-Check statt und der Zugriff auf Umgebungsvariablen ist eingeschränkt.
sql.safe_mode regelt eine Sonderbehandlung von Anmeldungen an Datenbankservern. In diesem Modus verwenden die PHP-Funktionen zur Datenbankanmeldung ausschließlich den Namen des System-Users, dem das Skript gehört. Da in Shared-Webhosting-Umgebungen der Name des Datenbanknutzers fast nie mit dem es System-Users übereinstimmt, kommt dort diese Option nur äußerst selten in Frage.
Eine besonders abgedichtete php.ini hat damit den folgenden Inhalt:
[PHP]
register_globals = off
allow_url_fopen = off
safe_mode = on
open_basedir =
disable_functions = exec,system,passthru,shell_exec,popen,escapeshellcmd,proc_open,proc_nice,ini_restore
display_errors = off
Die mit disable_functions gesperrten PHP-Funktionen in der oben genannten Empfehlung sind aber mit Vorsicht zu genießen. So funktionieren unter Confixx einige Funktionen nicht mehr, wenn hier keine Ausnahmeregelung vorgenomen wird.
Als serverseitige Sicherungsmaßnahmen empfehlen wir den Einsatz der PHP-Erweiterung Suhosin. Für Debian-Anwender gibt es unter www.dotdeb.org bereits fertige PHP4 und PHP5 Pakete mit Suhosin-Patch.
Eine gute Dokumentation des PHP-Safe-Mode findet man hier .
Tags: PHP Absichern, PHP-Sicherheitseinstellungen, Sicherheitsoptionen von PHP
Verwandte Artikel:
- Was ist SSL?
- Wie können PHP Einstellungen geändert werden?
- Problematic Programs
- Kann ich PHP auch auf .html-Dateien anwenden?
- PHP ionCube installieren
Letzte Änderung des Artikels: 2008-01-01 19:47
Autor: Topnetworks e.K.
Revision: 1.56
Es ist möglich, diesen Artikel zu kommentieren.