Hi zusammen,
ich setze ISPConfig 3 nun seit einer weiler unter debian 7 ein. Nun habe ich in einigen HOWTO's gelesen, dass SELinux auf jeden fall deaktiviert werden soll. Unter Debian 7 ist es per default inaktiv - also kein Problem. Allerdings habe ich etwas Sicherheitsbedenken, da es den eingerichtetet Kunden möglich ist aus Ihrem WEB Space heraus auf (z.B via PHP script) auf das Dateisystem vom Server zuzugreifen und somit potentiell geheime Daten zu lesen.
Daher nun meine Frage:
wie stellt ihr sicher, dass ein Nutzer nicht einfach aus einem php script heraus "cat /etc/passwd" oder so etwas aufruft. Klar ich könnte der /etc/passwd die leserechte für "all" entziehen. Aber potentiell sind ja auf dem Server tausende Dateien abgespeichert die nicht unbedingt jeder lesen können soll.
SELinux könnte so etwas verhindern, den apache im chroot laufen lassen sicher auch - aber was ist die beste Lösung?
ich setze ISPConfig 3 nun seit einer weiler unter debian 7 ein. Nun habe ich in einigen HOWTO's gelesen, dass SELinux auf jeden fall deaktiviert werden soll. Unter Debian 7 ist es per default inaktiv - also kein Problem. Allerdings habe ich etwas Sicherheitsbedenken, da es den eingerichtetet Kunden möglich ist aus Ihrem WEB Space heraus auf (z.B via PHP script) auf das Dateisystem vom Server zuzugreifen und somit potentiell geheime Daten zu lesen.
Daher nun meine Frage:
wie stellt ihr sicher, dass ein Nutzer nicht einfach aus einem php script heraus "cat /etc/passwd" oder so etwas aufruft. Klar ich könnte der /etc/passwd die leserechte für "all" entziehen. Aber potentiell sind ja auf dem Server tausende Dateien abgespeichert die nicht unbedingt jeder lesen können soll.
SELinux könnte so etwas verhindern, den apache im chroot laufen lassen sicher auch - aber was ist die beste Lösung?