Tom: Sicherheit beim Apache

Hello,

ist es beim Apache eigentlich ein Unterschied in der Sicherheit, wenn man ein CMS außerhalb der Document Root installiert (und es i.d.R. dafür aber vollständig umkonfigurieren muss) oder es innerhalb der Document Root installiert, und die zu schützenden Verzeichnisse "nur" mit .htaccess oder einer <directory>-Angabe sperrt für HTTP-Zugriffe?

Harzliche Grüße aus http://www.annerschbarrich.de

Tom

--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
  1. hi,

    ist es beim Apache eigentlich ein Unterschied in der Sicherheit, wenn man ein CMS außerhalb der Document Root installiert (und es i.d.R. dafür aber vollständig umkonfigurieren muss)

    wie nutzt du es dann?
    um damit arbeiten zu können, muss es doch wohl irgendwie über HTTP erreichbar sein, zumindest teilweise ... oder wird es nicht über's www genutzt?

    oder es innerhalb der Document Root installiert, und die zu schützenden Verzeichnisse "nur" mit .htaccess oder einer <directory>-Angabe sperrt für HTTP-Zugriffe?

    so lange alles "funktioniert", macht das wohl wenig unterschied.

    aber nimm nur mal den fall, dass deine .htaccess überschrieben wird, durch irgendeinen unbeabsichtigten befehl.
    dann ist der zugriff über HTTP offen - oberhalb des roots immer noch nicht.

    gruß,
    wahsaga

    --
    /voodoo.css:
    #GeorgeWBush { position:absolute; bottom:-6ft; }
    1. Hello,

      aber nimm nur mal den fall, dass deine .htaccess überschrieben wird, durch irgendeinen unbeabsichtigten befehl.
      dann ist der zugriff über HTTP offen - oberhalb des roots immer noch nicht.

      So ungefähr war ja auch mein Gedankengang.
      Ich beschäftige mich gerade nochmal intensiver mit Contenido.
      Da werden im Adminstrator-Handbuch merkwürdige Tipps gegeben.

      - safe_mode muss off sein
        - Files und Directories müssen 0777 bekommen

      usw.

      Ich habe es vor einiger Zeit schon mal bewusst anders gemacht. Ich habe auch als erstes ein HTTP-Upload-Tool dafür erstellt (auch wegen des Safe Mode).

      0777 habe ich auch nicht vergeben.

      Bisher habe ich keine Fehler feststellen können.
      Nun wollte ich es auch noch außerhalb der Doc-Root unterbringen, was für einen "Normaluser" zwar nicht möglich sein wird, mir aber für den Mandantenbetrieb als angemessen erscheint.

      Da ich auch bei anderen WCMS (die zwar größtenteils Schrott sind) diese Merkwürdigkeiten festgestellt habe, interessieren mich eben nochmals Eure Erfahrungen und Meinungen.

      Harzliche Grüße aus http://www.annerschbarrich.de

      Tom

      --
      Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
      Nur selber lernen macht schlau
      1. hallo Tom,

        Ich beschäftige mich gerade nochmal intensiver mit Contenido.
        Da werden im Adminstrator-Handbuch merkwürdige Tipps gegeben.
          - safe_mode muss off sein
          - Files und Directories müssen 0777 bekommen

        Ich kenne Contenido nur flüchtig. Ein Handbuch habe ich nie gelesen. Der Hinweis auf "off" bei safe_mode erscheint mir dubios, und mit der 0777 muß gründlich überlegt werden: wenn über das CMS _nur_ Texte bzw. HTML-Dateien geschrieben werden sollen, reicht 664 aus. Sollen aber damit auch "Scripts" erstellt werden können, könnte tatsächlich 775 nötig sein. 777 halte ich generell für ein Sicherheitsrisiko, abgesehen von einem lokalen Netz, in dem man die beteiligten Rechner und Kollegen gut kennt.

        Nun wollte ich es auch noch außerhalb der Doc-Root unterbringen, was für einen "Normaluser" zwar nicht möglich sein wird, mir aber für den Mandantenbetrieb als angemessen erscheint.

        Du kannst auf (nahezu) jedes auf dem Server-Rechner vorhandene Verzeichnis außerhalb der Dokumentwurzel mit den nötigen Rechten zugreifen, indem du einen Alias dafür festlegst. Wie Wahsaga aber bereits richtig angemerkt hat, ist ein Zugriff über HTTP auf _oberhalb_ gelegene Verzeichnisse auf dem Server-Rechner grundsätzlich nicht möglich. Das heißt, es ist nicht nötig, sich hier Sorgen zu machen, daß jemand, der auf ein solches Alias-Verzeichnis außerhalb der DocumentRoot über HTTP zugreifen darf, auch noch als ungebetener Gast in anderen Verzeichnissen des Server-Rechners herumspazieren könnte. Das kann er nicht. Bestehen allerdings andere Zugriffsmöglichkeiten (telnet, SSH), muß man an das Sicherheitskonzept auch vollkommen anders herangehen.

        Grüße aus Berlin

        Christoph S.

        1. Hello,

          [...] Das heißt, es ist nicht nötig, sich hier Sorgen zu machen, daß jemand, der auf ein solches Alias-Verzeichnis außerhalb der DocumentRoot über HTTP zugreifen darf, auch noch als ungebetener Gast in anderen Verzeichnissen des Server-Rechners herumspazieren könnte. Das kann er nicht. Bestehen allerdings andere Zugriffsmöglichkeiten (telnet, SSH), muß man an das Sicherheitskonzept auch vollkommen anders herangehen.

          ganz so einfach stellt sich da nicht dar.
          Contenido verfügt über einige sehr mächtige Scripte. Die können ja zugreifen, wenn man nicht alle Einstellungen vernünftig wählt. Ich muss es wohl erst vollständig durcharbeiten, um da eine vernünftige Aussage treffen zu können.

          Jedenfalls läuft es bei mir mit Safe_Mode=ON und mit den Datei- und Verzeischnisrechten 700.
          Ich habe es mittels HTTP-Fileupload-Scriptchen hochgeladen und nicht mit FTP.
          Es geht ja auch darum das Universal-User-mäßig zu machen, also ohne direkten ServerAccount.

          Harzliche Grüße aus http://www.annerschbarrich.de

          Tom

          --
          Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
          Nur selber lernen macht schlau
          1. hallo Tom,

            ganz so einfach stellt sich da nicht dar.
            Contenido verfügt über einige sehr mächtige Scripte.

            Das mag sein. Ich sagte ja, daß ich Contenido nur flüchtig kenne. Natürlich kann man mit einem "mächtigen Script" am Apache allerhand aushebeln.

            Jedenfalls läuft es bei mir mit Safe_Mode=ON und mit den Datei- und Verzeischnisrechten 700.

            Ich werde mir Contenido doch nochmal holen und anschauen. Das Ding ist schließlich, soviel ich weiß, gar nicht so selten im Einsatz.

            Ich habe es mittels HTTP-Fileupload-Scriptchen hochgeladen und nicht mit FTP.

            Ähhhh ... welches "es" hast du hochgeladen?

            Es geht ja auch darum das Universal-User-mäßig zu machen, also ohne direkten ServerAccount.

            Ich habe noch nicht verstanden, ob du es tatsächlich "www-weit" oder in einem lokalen Netz einsrtzen möchtest. Meines Erachtens kann es da Unterschiede geben.

            Grüße aus Berlin

            Christoph S.

            1. Hello,

              Ich habe es mittels HTTP-Fileupload-Scriptchen hochgeladen und nicht mit FTP.

              Ähhhh ... welches "es" hast du hochgeladen?

              Na, das Nacktbild von .... ?

              Wovon sprachen wir denn gerade?
              Zwei Sätze reflexiv wirst Du doch wohl auch nach einer Flasche Holunderwein noch können, oder? ;-))
              BTW: Kannst Du nicht mal 'ne Probe von dem Zeug schicken? Vielleicht kommen wir ins Geschäft.

              Es geht ja auch darum das Universal-User-mäßig zu machen, also ohne direkten ServerAccount.

              Ich habe noch nicht verstanden, ob du es tatsächlich "www-weit" oder in einem lokalen Netz einsrtzen möchtest. Meines Erachtens kann es da Unterschiede geben.

              Ich setze Contenido erst dann ein, wenn ich meinen Usern erklären kann, wie sie das System mittels "click click click" auf ihrem Webspace "installieren" können. Im Moment teste ich noch. Testen sollte man doch tunlichst im "Private Simulated Internet", oder?

              Das System gefällt mir aber schon länger recht gut und da die Jungs und Mädels von Contenido auch hier mitzulesen scheinen, kann es durch meine hier veröffentlichten Versuche auch nicht schlechter werden. Denke ich jedenfalls.

              Harzliche Grüße aus http://www.annerschbarrich.de

              Tom

              --
              Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
              Nur selber lernen macht schlau