Open Basedir anpassen?

[joshlukas]

Seid gegrüßt.

Ich habe eine Frage bezüglich ISPConfig, PHP und vHost. Ich möchte gerne aus dem Webverzeichniss zusätzlich auf einen Mountpoint zugreifen. Auf der eingebundenen Festplatte, welches als Massenmedium für diverse Daten dient soll zugegriffen werden können. Wo stelle ich dies ein? In der php5.ini ist open basedir auskommentiert. Daher gehe ich davon aus, dass ISPConfig an einer anderen Stelle seine vHosts einstellt?

Derzeit sieht es so aus, dass mitunter Ampache als Musikserver läuft. Die Daten auf die zugegriffen werden soll befinden sich eben auf einer anderen Festplatte, welche auf /media/daten/audio abgelegt sind.

Ich bin jedem dankbar, der mir weiter helfen kann. Danke im Voraus.


Gruß,

Lukas

 

[Quest]

Mahlzeit Lukas

open basedir müsste afaik auch in den vHosts geregelt sein, die sind unter /etc/apache2/sites-availible gespeichert.
NICHT ANFASSEN!
Die Files werden von ISP3 nach jeder Änderung, die du an einer Site vornimmst neu geschrieben und deine Änderungen sind weg.

Ich hab auch Ampache drauf und hab das etwas anders gelöst.
Mit einem Symlink.
Angenommen du bist auf der Shell gerade in deinem Ampache-Verzeichnis,
Dann gibst du folgenden Befehl ein:

ln -s /media/daten/audio audio

Dann wird im aktuellen Verzeichnis ein Symlink audio angelegt der in dein Datenverzeichnis zeigt.
Auf den kann dann ampache ganz normal zugreifen.

 

[joshlukas]

Einen wunderschönen guten Morgen Quest und vielen Dank für Deinen Beitrag. Dazu habe ich gleich eine Frage.

Funktioniert dieses Vorgehen auch dann, wenn FastCGI geladen ist? Derzeit funktioniert es nach langem hin und her und dem Grandiosem Support im Ampache Chat so, dass ich ModPHP geladen habe und in /usr/local/ispconfig/server/conf/vhost.conf.master

<tmpl_if name='security_level' op='==' value='20'>
    php_admin_value open_basedir none
</tmpl_if>

abgeändert habe. Inwieweit dies dadurch zu Sicherheitsschwachstellen kommt weiß ich allerdings nicht. Fürs erste bin ich jedenfalls froh, dass es halbwegs läuft. Zufrieden bin ich mit der Lösung jedoch nicht. Bei eingeschaltetem FastCGI tut sich jedenfalls nichts, wenn ich mit php_admin_value open_basedir ausschalte. .htaccess anpassen half auch nicht. Höchstens hat es 500er Fehlermeldungen nach sich gezogen.

Dein Ansatz erscheint mir da eleganter, wenn ich auch da sicherheitstechnisch betrachtet etwas skeptisch gegenüber stehe.

Gruß und einen schönen Wochenanfang wünsche ich Dir Quest.

Lukas

 

[Till]

Inwieweit dies dadurch zu Sicherheitsschwachstellen kommt weiß ich allerdings nicht.

Du ermöglichst damit den Zugriff in allen Verzeichnissen Deines Servers durch PHP Scripte. Kann man bei einem privaten System oder im Intranet noch machen, aber ich würde es nie auf einem System machen wo auch webs von dritten drauf laufen.

Bei eingeschaltetem FastCGI tut sich jedenfalls nichts, wenn ich mit php_admin_value open_basedir ausschalte.

Das openbasedir wird für cgi und fcgi auch nicht im vhost gesetzt sondern in der fcgi starter Datei. Du findest die templates für diese Dateien im gleichen Veruechnis wie das template der vhost Datei.

Höchstens hat es 500er Fehlermeldungen nach sich gezogen.

Dann musst Du im error log der Seite nachsehen, was genau das problem ist. Meistens sind es die Berechtigungen.

 

[joshlukas]

Hallo Till.

Bist Du also der Meinung, dass die Symlink Methode die sicherste ist, wenn es darum geht auf ein Verzeichniss auserhalb des httpdocs lesend zuzugreifen?

Gruß,

Lukas

 

[Till]

Am sichersten ist es, wenn Du die Dateein in den vhost kopierst, also nicht ins web verzeichnis sondern z.B. in ein Verzeichnis /var/www.deinedomain.de/audio/ Ansonsten würde ich es mit dem symlink versuchen.

 

[joshlukas]

Alles klar. Danke für die Hilfe. Werde also einen Symlink setzen, ein Hineinkopieren der Daten ins www geht nicht, da die SSD auf dem das System läuft nicht so groß ist um mehrere hundert Gigabyte abzuspeichern.

Gruß,

Lukas

 

[Quest]

Ich habe auch die Media Files per Symlink ausgelagert, weil ich verhindern wollte, dass alle Files bei den Backups auf den Hetzner FTP kopiert werden. Würde ewig dauern und mein Backup Space wär ratz fatz voll ^^