Generelle ISPConfig 2.x Sicherheitsfrage

[iceget]

Hallo Liebe Community,

folgendes Problem:
wenn ich die Safemode für eine Domain deaktiviere,
habe ich mittels webadmin.php so gut wie auf jedes Web auf diesem Server zugriff.

Mein Problem ist das manche Domains diese Safemode off unbedingt benötigen.

Nur die Frage, wie ich das sicher machen kann?

PHP_shell_execute kann ja deaktiviert werden, aber wie kann ich das soweit anstellen das keine Domain bei dieser die SM auf 0 steht, auf andere Webs NICHT zugreifen kann?

Könnt ihr mir helfen?

F1) Wie sieht das ganze mit ISPConfig 3 aus?

F2) Gibt es mittlerweile schon ein ISPConfig 2 auf ISPConfig 3 Migrationsscript?

F3) was ist besser. Einen Loadbalancer mit ISPConfig 3 mittels der eigenen Dienste (Apache Cluster, MySQL Cluster, Bind Cluster) oder eher besser mittels XEN und der Clusterfunktion?

Vielen Dank!

glg Markus

 

[Till]

PHP_shell_execute kann ja deaktiviert werden, aber wie kann ich das soweit anstellen das keine Domain bei dieser die SM auf 0 steht, auf andere Webs NICHT zugreifen kann?

- Shell Funktionen wie exec, passthru und popen deaktivieren.
- Ein open_baesdir setzen das die Zugriffe aller anderen Dateifunktionen auf diese Pfade beschränkt.

Diese Probleme sind aber immer vorhanden wenn mod_php verwendet wird, ist also nicht ispconfig spezifisch.

Ansonsten kannst Du mit ispconfig 2 auch suphp einsetzen, das ist aber langsamer als mod_php. Gibt es ein Tutorial auf howtoforge.com dafür.

Zu Deinen anderen Fragen:

1) ISPConfig 3 verwendet einen User pro Webseite. Wenn Du dann php-fcgi und suexec in den Web-Settings nimmst, dann läuft jedes Webscript unter eigenem User.
2) Nein. das ist technisch auch nicht wirklich machbar, da es komplett unterschiedliche Systeme sind.
3) Xen wird wahrscheinlich einfacher zu handhaben sein. Aber Xen ist ein Auslaufmodell, würde ich nicht mehr drauf setzen. Bei Webservern ist openvz vorzuziehen und auch performanter.

 

[iceget]

Hallo Till,

Danke für die super Antwort!

D.h. ich kann auch nachgträglich von MOD_PHP umsteigen, ohne das ich bei jedem einzelnen Web irgendwelche manuellen Einstellungen (Konfigurationen) ändern muss?
Wie kann ich dies genau bewerkstelligen?

Und meine zweite Frage:
ich habe nun rund 350 Domains auf dem ISPConfig 2 System, würde diese gerne alle auf ISPConfig 3 umstellen.

Wie mache ich das am besten?

Wie lange wird ISPConfig 2 noch weiter supported bevor das 2er System komplett eingestellt wird?

Danke und lg Markus

 

[Till]

Wie kann ich dies genau bewerkstelligen?

Dafür gibt es das Tutorial auf howtoforge.com. Such mal nach ispconfig und suphp, es gibt da nur eines zum Thema.

Wie mache ich das am besten?

neuen Server mit ispconfig 3 aufsetzen und die webs stück für stück migrieren. Unter umständen kann man da auch Teilbereiche mit scripts automatisieren, da dioe password hashes gleich sind.

Wie lange wird ISPConfig 2 noch weiter supported bevor das 2er System komplett eingestellt wird?

Kann ich Dir nicht sagen. Bis jetzt ist kein Ende von ISPConfig 3 beschlossen.

 

[iceget]

Dafür gibt es das Tutorial auf howtoforge.com. Such mal nach ispconfig und suphp, es gibt da nur eines zum Thema.

Hallo Till,

danke für deine Antwort!

Habe das gerade versucht dies umzustellen,
jedoch schreibt er mir im Endeffekt (weil eben PHP_ADMIN_FLAGS in der ISPCONFIG Datei drin ist)

websvr1:/tmp/suphp-0.6.2# /etc/init.d/apache2 restart
Forcing reload of web server (apache2)...Syntax error on line 45 of /etc/apache2/vhosts/Vhosts_ispconfig.conf:
Invalid command 'php_admin_flag', perhaps misspelled or defined by a module not included in the server configuration
failed!

Wie kann ich wirklich einen laufenden Server auf SUPHP umstellen?

Vielen Dank

PS eine andere Frage:
kann ich das irgendwie bewerkstelligen einen ROOT Server mittels OPENVZ zu virtualisieren ohne dabei diesen Offline bearbeiten zu müssen? Also bei XEN geht das indem ich mit der XENSERVER CD hochfahre und dann auswähle welche maschine ich virtualisieren möchte.