dumme Admins Teil I
schon seid Donnerstag geistert die Nachricht von den unsicherern Hostern durch die Newspages und Boards und wieder einmal zeigt sich, dass so ziemliche alle Hoster Müll sind. Nicht ohne Grund bin ich deshalb schon seid zwei Jahren auf meinem eigenen Server.
Im c’t-Artikelkam wohl nur WebJannsen und Bais richtig schlecht weg, aber wie ich gehört habe nur aus dem Grund, dass sie bereit und imstande waren die Sicherheitslücke schnell genug zu schliessen. Andere Hoster hat die c’t aus Schutz vor Scriptkiddies garnicht erst veröffentlicht.
Das besagte Script ist nur ein simpler PHP-Filebrowser, aber wenn man damit bei den anderen Kunden browsen kann, ist das halt nicht so schön. Problematisch an der Sache ist PHP, also nicht die Sprache an sich, sondern die Installation als Modul des Apache-Webservers. Denn der Apache läuft unter einem bestimmten Usernamen und wer sich mit Unix-Filerechten auskennt weiss, dass der Webserver Leserechte auf Dateien haben muss um sie anzuzeigen bzw. viel schlimmer Schreibrechte um Dateien zu schreiben (z.B. Bild-Uploads). So das jeder der des PHP mächtig ist auf alle Dateien zugreifen kann auf die der Webserver die entsprechenden Rechte hat.
Eine Möglichkeit um diese Lücke zu schliessen ist PHP als cgi zu kompilieren, was aber elendig langsam wird und außerdem nicht sonderlich performant auf Server mit vielen VHosts ist.
Die zweite und beste Möglichkeit ist eine Verbindung vom safe_mode und open_basedir, die im Prinzip erreicht, dass der User nur in seinem eigenen Verzeichnis wüten darf.
Eine wichtige Sache sind aber sichere Dateirechte auf dem ganzen System. Da fehlt es den Standardinstallationen der Distributionen an der nötigen Sicherheit und man sollte auf jeden Fall nachbessern und sich schlau machen.
Apache2 ist sicher die richtige Richtung, aber bis das zufriedenstellend läuft wird noch einige Zeit vergehen
Allerdings würde mich auch mal interessieren, was passiert wenn Fehler in den gängigen Server-Administrationstools wie Confixx, PD-Admin und Konsorten gefunden werden, denn dann wären viele am Arsch :)
Tut mir leid, es sind keine Kommentare mehr möglich.