nicht angemeldet
Sicherheit : Darf/Muss der absolute Pfad angegeben werden
Hallo,
Was darf den Usern auf einem WWW-Server bekanntgegeben werden, ohne die Sicherheit des Servers zu gefährden.
Falls Perl/PHP/ASP als Scripte ausgeführt werden dürfen, wird vielfach der absolute Pfad benötigt.
Dies kann als Servervariable ausgelesen werden, in vielen Scripten muss aber der absolute Pfad direkt angegeben werde.
Meine Frage:
Soll ich meinen WWW-Benutzern als Admin die absoluten Pfadangaben vom virtuellen Serverplatz mit den Zugangsdaten (FTP) zum Server bekannt geben?
Gehe ich damit Risiken ein? Welche?
Eure Meinungen sind gefragt (:
Pet
-
Hallo,
Was darf den Usern auf einem WWW-Server bekanntgegeben werden, ohne die Sicherheit des Servers zu gefährden.Falls Perl/PHP/ASP als Scripte ausgeführt werden dürfen, wird vielfach der absolute Pfad benötigt.
Dies kann als Servervariable ausgelesen werden, in vielen Scripten muss aber der absolute Pfad direkt angegeben werde.Meine Frage:
Soll ich meinen WWW-Benutzern als Admin die absoluten Pfadangaben vom virtuellen Serverplatz mit den Zugangsdaten (FTP) zum Server bekannt geben?
Gehe ich damit Risiken ein? Welche?Eure Meinungen sind gefragt (:
Pet
Wenn du php installiert hast, wird das größtenteils eh bekannt gegeben. Schreibe dir mal eine Datei mit:
<?
phpinfo();
?>
und führe diese aus.mfg
-
...
Wenn du php installiert hast, wird das größtenteils eh bekannt gegeben. Schreibe dir mal eine Datei mit:
<?
phpinfo();
?>
und führe diese aus.mfg
ich kann auch mit Perl ($ENV{DOCUMENT_ROOT}) die Root auslesen.
Meine Frage ist nur die, gehe ich als Admin ein potenzielles Risiko (Secure) ein, wenn ich generell die D_Root bekanntgebe, (Diskrete Serverinformationen) oder soll ich das als absolut unkritisch einstufen.
Pet
-
-
Hallo,
Was darf den Usern auf einem WWW-Server bekanntgegeben werden, ohne die Sicherheit des Servers zu gefährden.Falls Perl/PHP/ASP als Scripte ausgeführt werden dürfen, wird vielfach der absolute Pfad benötigt.
Nicht nur dann, sondern z.B. auch für Paßwortschutz per .htaccess (der Pfad zu den Dateien mit den User/Gruppen-Daten muß absolut angegeben werden).
Soll ich meinen WWW-Benutzern als Admin die absoluten Pfadangaben vom virtuellen Serverplatz mit den Zugangsdaten (FTP) zum Server bekannt geben?
Wenn sie sie benötigen, um die erlaubten Dinge zu tun: ja.
Gehe ich damit Risiken ein? Welche?
Das hängt davon ab, wie gut Du die einzelnen Verzeichnisse gegen unbefugte Zugriffe absicherst.
Andreas
-
Hallo,
Was darf den Usern auf einem WWW-Server bekanntgegeben werden, ohne die Sicherheit des Servers zu gefährden.Falls Perl/PHP/ASP als Scripte ausgeführt werden dürfen, wird vielfach der absolute Pfad benötigt.
Nicht nur dann, sondern z.B. auch für Paßwortschutz per .htaccess (der Pfad zu den Dateien mit den User/Gruppen-Daten muß absolut angegeben werden).
Soll ich meinen WWW-Benutzern als Admin die absoluten Pfadangaben vom virtuellen Serverplatz mit den Zugangsdaten (FTP) zum Server bekannt geben?
Wenn sie sie benötigen, um die erlaubten Dinge zu tun: ja.
Gehe ich damit Risiken ein? Welche?
Das hängt davon ab, wie gut Du die einzelnen Verzeichnisse gegen unbefugte Zugriffe absicherst.
Ich fahre nicht in einer user-chroot() Umgebung.
Also ist die chroot() des Users auch die des WWW-Servers.
Mit suexec schütze ich das Ausführen von Scripts.
PHP ist mit basedir und safemod zu.
Ansonsten Standardkonfiguration unter RedHat mit den üblichen Verzeichnisrechten.Generell sollten bekanntlich aus Sicherheitsgründen (DOS-Attacken u.v.m.), nur eingeschränkte Informationen über den Server bekanntgegeben werden.
... und genau hier stellt sich jetzt die Frage, ob die Angaben über Verzeichnistrukturen (Document_Root) bereits ein Risiko darstellen oder nicht.
Soll ich die also bedenkenlos ausliefern ?
Pet
Andreas
-
Moin!
Generell sollten bekanntlich aus Sicherheitsgründen (DOS-Attacken u.v.m.), nur eingeschränkte Informationen über den Server bekanntgegeben werden.
... und genau hier stellt sich jetzt die Frage, ob die Angaben über Verzeichnistrukturen (Document_Root) bereits ein Risiko darstellen oder nicht.
Soll ich die also bedenkenlos ausliefern ?
Überleg doch mal selbst: Wenn deine Taktik ist, dem User möglichst wenig Informationen zu geben, damit er wenig Mist anstellen kann, er aber durch simpelste Befehle die Informationen selbst kriegen kann, um dann Mist anzustellen, und weiterhin davon auszugehen ist, dass jemand, der Mist anstellen will, sich wenigsten ein kleinwenig auskennt, um die benötigten Informationen zu bekommen, dann behindert deine Idee nur die User, die an die Information nicht selbst rankommen, um sie für legitime Dinge zu nutzen, aber nicht die Leute, die wissen, was sie tun.
Mit anderen Worten: Security thru obscurity does not work. Sorge dafür, dass ein User selbst bei voller Kenntnis aller Systeminterna, Verzeichnispfade, Programminstallationen etc. nichts tun kann, was er nicht tun soll. Erst dann hast du ein sicheres System. Wenn das bedeutet, dass du gewisse Dinge nicht zulassen kannst, weil sonst die Sicherheit nicht mehr gewährleistet sein kann, dann mußt du diese Dinge abschalten - oder ein unsicheres System akzeptieren.
- Sven Rautenberg
-
-