Mambo: Sicherheit
Aus Wikibooks
| ← Update | Das Mambo-Buch: Anfänger-Bereich - Sicherheit auf dem Webserver |
Alternative Installationen → |
| ↑ Startseite Anfänger-Abschnitt | ↓ Passendes Profi-Thema | ↑ Startseite Schnelleinstieg |
Inhaltsverzeichnis |
[Bearbeiten] Empfohlene Rechte für die Mambo Ordner und Dateien
Es bestünde ein Sicherheitsrisiko wenn wir alle Dateien und Verzeichnisse auf chmod 777 (rwxrwxrwx) setzen würden. Für die Ordner reicht 755 (rwxr-xr-x), für die Dateien im Mambo-Verzeichnis reicht chmod 644 (rw-r--r--) aus.
[Bearbeiten] Ordnerrechte
Was ist denn chmod?
Das ist eigentlich ein kleines Programm mit dem man die Dateiattribute unter Unix / Linux verändern kann. Es hat also nicht direkt mit Mambo oder dem Webserver zu tun. Es setzt Grenzen beim Lesen, Schreiben oder Ausführen Programmen. Da der Webserver (und Mambo damit auch) wie ein ganz normaler Benutzer behandelt wird, treffen diese Grenzen dort also auch zu.
chmod ist die Abkürzung für "change mode".
[Bearbeiten] Rechte
Die Rechte, die jemand an einer Datei/einem Ordner haben kann, können folgende Werte haben:
- die Datei zu lesen r
- die Datei zu verändern w
- die Datei ausführbar zu machen x
[Bearbeiten] Gruppen und Benutzer
Damit es noch etwas komplizierter wird, unterscheidet das auch noch zwischen Gruppen und Benutzer:
- Der Benutzer selbst u ... also du (user)!
- Die Gruppe g zu der die Datei/der Ordner gehört (group).
- Alle anderen o (others)
Um beispielsweise der Gruppe alle Lese-, Schreib- und Ausführbarkeitsrechte zu erteilen, wählt man: chmod g+rwx Dateiname
Um beispielsweise dem "Rest der Welt" alle Lese- und Schreibrechte zu nehmen, wählt man: chmod o-rw Dateiname
Anstatt der Buchstaben r/w/x werden häufig Oktalzahlen zur Verdeutlichung der Rechte verwendet.
- 0 ... es ist keine Operation mit dem Objekt gestattet.
- 1 ... es darf die Datei ausführt bzw. in das Verzeichnis gewechselt werden.
- 2 ... es darf in die Datei geschreiben bzw. Dateien im Verzeichnis erstellt werden
- 4 ... es darf aus der Datei gelesen bzw. die Dateien im Verzeichnis dürfen angesehen werden.
Zählt man diese Zahlen zusammen ergeben sie einen Wert. Dazu einige Beispiele:
Wir haben also den Besitzer einer Datei (z.B. den Benutzer der per FTP eine Datei auf den Webserver geladen hat, eine Gruppe (das wäre dann z.B. der Webserver) und alle anderen auf einem Server.
Ich lade jetzt also etwas auf meinem Sever und stelle z.B. auf 600 > das wäre übel weil damit die Gruppe (also der Webserver) ausgesperrt werden. Dann könnte ich zwar die Dateien sehen und mich daran ergötzen, aber niemand der meine Seite besucht. Das sagt uns das die erste Zahl der Benutzer ist...
Erste Zahl ist der Benutzer (user)
Zweite Zahl ist die Gruppe (group)
Dritte Zahl alle anderen (others)
Zahlenkombinationen wo die letzte Zahl die Höchste darstellt sind also totaler Quatsch. Vorn hoch und hinten tief sind also ideal.
- 700 wäre dann z.B. das der Benutzer lesen, schreiben und ausführen darf. Alle anderen dürfen nichts.
- 070 Die Gruppe darf alles, der Benutzer und alle anderen nichts.
- 007 Alle anderen dürfen alles, Benutzer und Gruppe nichts.
Kommen wir aber endlich zum Ende....
Einstellungen wie 777 lassen zwar alles laufen, sind dafür aber ein Einladung für alle schlechten Subjekte im Internet. Bei mir hat sich 644 als Ideal erwiesen da es dem Benutzer und der Gruppe (Webserver) alle nötigen Rechte gewährt, alle anderen aber aussprerrt.
Wichtig ist also nur das der Benutzer und Webserver lesen und schreiben dürfen. Das Ausführen wird unter anderen Rechten vom PHP / Perl übernommen.
[Bearbeiten] Weblinks
| ← Update | Das Mambo-Buch: Anfänger-Bereich - Sicherheit auf dem Webserver |
Alternative Installationen → |
| ↑ Startseite Anfänger-Abschnitt | ↓ Passendes Profi-Thema | ↑ Startseite Schnelleinstieg |
