Tom: Hoster sicher mit safe_mode off?

Beitrag lesen

Hello,

ist ein shared Hosting mit safe_mode off eigentlich heutzutage, also mit aktuellem php, sicher? Ich habe gelesen dass safe_mode eigentlich deprecated ist und frage mich jetzt was das bei aktuellem php bedeutet. Ich habe dazu auch nichts eindeutiges mit google gefunden.

Das Problem von safe_mode off soll ja sein dass jeder andere Mitmieter auf dem Server sich Zugriff auf alle anderen Dateien in den anderen Webs verschaffen kann. Damit dann wohl auch auf die Datenbanken, weil ja irgendwo die Zugangsdaten gespeichert sind usw.

Der Safe-Mode wird leider immer auf sein Problem reduziert. Das liegt ja im Umgang mit Dateien auch innerhalb des eigenen Accounts, wenn der Owner des Scriptes nicht identisch ist mit dem Owner des Verzeichnisses oder der Datei, auf das/die das Script zugreifen soll.

Viel wichtiger waren aber die ganzen Abschaltungen von Funktionen, die durch den Safe-Mode mit einem Schalter vorgenommen wurden. Das waren insbesondere alle Shell-Funktioen, also exec() & Co.

Die Einschränkung des Zugriffes auf das Dateisystem mittels PHP-Funktionen kann/muss man mit der Einstellung von open_basedir regeln. Bei richtig konfigurierten Pfaden für alle User des Interpreters weigern sich dann die PHP-Datei- und Verzeichnisfunktionen auf Ziele außerhalb des jeweils konfigurierten Bereiches zuzugreifen.

Heute wird aber kaum noch ein Hoster, der seine Plant neu aufbaut, auf einen virtual Server pro Account verzichten. Mit einem virtual Server wird das gesamte System "eingesperrt". Es kann sogar jeder vServer mit einem anderen OS laufen.

Diejenigen, die diese Möglichkeit nicht nutzen, verwenden dann PHP als CGI oder Fast-CGI in einer Change-Root-Umgebung. Damit haben sie die Probleme aber immer noch beim SSH-Zugang oder ggf. auch bei FTP. Die CHRoot-Umgebung kann man meistens noch angreifen, wenn man Konsolenzugang hat. Irgendwelche Löcher lassen sich da immer bohren.

PHP als Modul kann man im Sinne deiner Frage nur sicher bekommen, wenn man alle Shellfunktionen abschaltet.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg

--
 ☻_
/▌
/ \ Nur selber lernen macht schlau
http://bergpost.annerschbarrich.de