Sicherheit chmod 777

[lichtfest]

Hallo,

ich hätte da eine generelle Frage zu Datei-/Verzeichnisberechtigungen.
So muß ich z.B. beim Safemode-Hack unter system die Verzeichnisse html, logs und tmp auf chmod 777 stellen.
Das würde bedeuten daß jeder Vollzugriff auf diese Verzeichnisse hat. Aber andererseits habe ja nur ich ftp-Zugriff auf den Server und der Webhoster(all-inkl) wird wohl alle anderen Nutzer des physikalischen Servers abgekapselt haben. D.h. chmod 777 stellt eigentlich überhaupt kein Problem dar - im Prinzip könnte ich theoretisch alles auf 777 stellen und es wäre kein Sicherheitsrisiko oder gibt es noch andere Möglichkeiten die ich durch diese Einstellung erleichtere?

Ich würde mich freuen wenn ihr mir weiterhelfen könnt.

Danke - Markus

[pmmueller]

Du kannst bei all-inkl.com ganz einfach auf Fast-CGI umstellen und benötigst dann keinen »Safe Mode Hack« mehr. Einfach hier im Forum mal nach suchen.

Die von dir genannten Verzeichnisse html, logs und tmp enthalten temporäre Dateien und werden regelmäßig geleert.

Für die anderen Verzeichnisse gilt: Klar kannst du alles auf 777 stellen. Das ist einfach nur mutig. Du kannst auch in der Hauptverkehrszeit eine mehrspurige Autobahn überqueren ohne vorher zu schauen ob was kommt. Das ist auch mutig.

Aber der Übergang zwischen Mut und Dummheit ist fließend...

[lichtfest]

Danke für die Antwort!

Ich arbeite auf unterschiedlichsten webhostern und daher gehts mir einfach nur darum, mehr darüber zu erfahren wie ich meine websites sicher machen kann und was ein chmod 777 für Auswirkungen haben kann.

Was hat fast-cgi mit der safe-mode Einstellung von php zu tun?

Wie Du Dir hoffentlich denken kannst möchte ich nicht wirklich meine komplette Verzeichnisstruktur auf 777 zu stellen. Es ging mir nur darum, mehr darüber zu erfahren was soetwas für sicherheitsrelevant Auswirkungen hat. Dein sicherlich gut gemeinter, bildlicher Vergleich hinsichtlich der Überquerung einer Autobahn und der damit einhergehenden Dummheit sorgt wahrscheinlich im Informatikunterricht einer Schule für entsetzte Gesichter, aber bringt mir nichts. Die Fakten dahinter würden mich mehr interessieren.

[pmmueller]

Der »Safe Mode Hack« von Contao hat überhaupt gar nichts mit "Safe Mode on oder off" zu tun

Es geht um Dateiberechtigungen. Ein besserer Name als SMH wäre vielleicht "FTP-Modus" oder sowas in der Art. Unter "Fast-CGI" laufen Webserver/PHP und somit auch Contao unter dem gleichen Benutzernamen wie FTP und deshalb darf Contao dann seine eigene Dateien ändern.

Wenn du deinen Webspace sicher halten willst, dann vermeide einfach 777 wo du kannst.

Der Contao-Check sagt nicht umsonst "Versuchen Sie keinesfalls, das Problem durch eine Änderung der Dateiberechtigungen zu lösen!"

[NetMediaWork]

Hallo,

läuft der Account mit mod_php (eventuell noch mit dem Suhosin-Patch) müssen die Verzeichnisse root/system/html , root/system/scripts , root/system/tmp bei Bedarf root/system/log den chmod 0777 aufgrund der Besitzrechte an Dateien erhalten.

Der SafeModeHack möchte den Ordnern schreibrechte geben, dazu benötigt er aber das temporäre Verzeichnis root/system/tmp dieses will er sich ja aber erstmal beschreibbar machen ... Wahrscheinlich wäre es günstiger, wenn der SafeModeHack dazu das temporäre Verzeichnis des Servers nutzen würde /var/www/htdocs/ACCOUNT/tmp (oder temp je nach Konfiguration)

Safe Mode und Contao Safe Mode Hack (SMH) sind zwei verschiedene Dinge.

[lichtfest]

Unter "Fast-CGI" laufen Webserver/PHP und somit auch Contao unter dem gleichen Benutzernamen wie FTP und deshalb darf Contao dann seine eigene Dateien ändern.

Danke, das wusste ich nicht.

Wenn du deinen Webspace sicher halten willst, dann vermeide einfach 777 wo du kannst.

Der Contao-Check sagt nicht umsonst "Versuchen Sie keinesfalls, das Problem durch eine Änderung der Dateiberechtigungen zu lösen!"

Genau der Meinung bin ja auch und deswegen war ich verwundert daß so oft ein Ändern auf 777 als Problemlösung angeboten wird ohne darauf hinzuweisen was die Auswirkungen sein können.

Safe Mode und Contao Safe Mode Hack (SMH) sind zwei verschiedene Dinge.

Aber diese beiden haben schon einen starken Zusammenhang oder? Denn wenn php safe mode auf ON ist, dann muß ich über Contao den Safe Mode Hack (Umgehen der Berechtigungsprobleme mittels ftp) konfigurieren. Oder gibt es auch Fälle bei denen ich bei Safe mod OFF den SMH konfigurieren muß?

[NetMediaWork]

Hallo,

kleiner Nachtrag. Es sollte auch chmod 0775 tun. Sicherheitsbedenklich ist das nicht, in diesen Ordner befinden sich keine Dateien, die man nicht auch über den Quelltext in Erfahrung bringen kann. Ausserdem werden Sie durch Cron ständig aktualisiert.

SMH läuft sowohl mit als auch ohne Safe Mode.

[pmmueller]

Oder gibt es auch Fälle bei denen ich bei Safe mod OFF den SMH konfigurieren muß?

Ja. Das eine hat mit dem anderen nichts zu tun. Hinter dem SMH verbirgt sich die Option "Dateien via FTP bearbeiten".

Wie Leo in seinem Contao-Handbuch auf Seite 246 schreibt: "Die Bezeichnung »Safe Mode Hack« ist in diesem Zusammenhang nicht ganz optimal gewählt, da sie suggeriert, man bräuchte diese Option nur, wenn der PHP Safe Mode aktiv ist."

Hier noch ein Auszug aus meinem Contaobuch, aus dem Kapitel über die Installation von Contao

Vereinfacht gesagt kommt die Meldung, weil Contao seine eigenen Dateien nicht ändern darf. Das ist nötig, um zum Beispiel Konfigurationsdateien zu speichern oder mit dem integrierten Dateimanager Bilder und Dokumente zu verwalten. Der Grund dafür ist wahrscheinlich, dass PHP als Modul betrieben wird und unter einem anderen Benutzernamen läuft als der FTPBenutzer, dem die Dateien gehören.

Bei all-inkl.com funktioniert folgende Anweisung:

• Benennen Sie die mitgelieferte Datei .htaccess.default im Hauptverzeichnis von Contao in .htaccess um. Die Datei muss punkthtaccess heißen, nichts davor, nichts dahinter und keine Leerstelle.
• Öffnen Sie die Datei im Editor, und schreiben Sie folgende Zeilen an den Anfang der Datei:
  # PHP als FastCGI wegen Contao SMH
  AddHandler php5-fastcgi .php
• Speichern Sie die Datei .htaccess, und laden Sie sie hoch.
• Rufen Sie erneut den contao-check.php auf.

Die Meldung mit dem SMH sollte verschwunden sein.

Genau der Meinung bin ja auch und deswegen war ich verwundert daß so oft ein Ändern auf 777 als Problemlösung angeboten wird ohne darauf hinzuweisen was die Auswirkungen sein können.

Das wird dir hier im Forum nicht so oft passieren. Dazu aber noch ein Zitat aus dem Installationskapitel:

Viele Webanwendungen haben aber kein Äquivalent zum Safe Mode Hack anzubieten und empfehlen deshalb, die Zugriffsrechte für bestimmte Dateien und Ordner auf 777 zu stellen, damit die Anwendung überhaupt funktioniert. Auch in Foren wird das manchmal ganz locker als Lösung für alle Probleme empfohlen: »Einfach alles auf 777 setzen, dann funzt das.« ...

Just don’t do it. Vielleicht erzählt Ihnen in einem Forum ein freundlicher Experte, dass 777 nicht wirklich gefährlich sei. Überlegen Sie einfach, ob Sie auf Empfehlung dieses Experten zur Hauptverkehrszeit mit verbundenen Augen eine gut befahrene, mehrspurige Schnellstraße überqueren würden. Wenn nicht, dann ist 777 nichts für Sie. Sie sind dann nicht gutgläubig genug und besitzen zu wenig Risikobereitschaft.

So. Und nun viel Spaß mit Contao.

[NetMediaWork]

Hallo,

Interessant in diesem Zusammenhang, wenn auch schon etwas älter - Link

KURZFASSUNG deutsche Uebersetzung: Entgegen der haeufigen Annahme ist 777 nicht derart gefaehrlich, wie oft irrtuemlicherweise angenommen wird. Vielmehr muss zuvor ein Einbruch auf den Server geglueckt sein um die 777 Rechte ausnutzen zu koennen. Von aussen kann ein Hacker/Cracker/Script Kiddie jedoch nichts mit den 777 Rechten anfangen bzw. dies zu seinem Vorteil ausnutzen, dies wird jedoch von vielen bis heute faelschlicherweise geglaubt und sicher auch noch die naechsten Jahre weiterverbreitet. Es ist wie mit dem missverstandenen Hamburger Urteil, dass auch heute noch - nach vielen Jahren - in vielen Disclaimern zu finden ist.

[pmmueller]

Do whatever you like, aber der Vergleich mit dem missverstandenen Hamburger Urteil passt nicht wirklich. Ich schließe meine Haustür ab und mache die Fenster zu, auch wenn eine Mauer um das Grundstück ist. Natürlich müssen die Angreifer erst aufs Grundstück kommen, aber auf einem Shared Hosting Server sind sie da schon ein Stück weit dichter dran als auf einem eigenen Server.

[NetMediaWork]

... aber auf einem Shared Hosting Server sind sie da schon ein Stück weit dichter dran als auf einem eigenen Server ...

Hallo,

Da widerspreche ich grundsätzlich nicht. Aber da sollte das Problem auch nicht auftreten, da dort in der Regel PHP als CGI und nicht als mod_php läuft. Letztendlich ist es eine Frage der Konfiguration des Servers. Dann sollte es kein Problem darstellen den chmod zu setzen.

Es ist übrigens keine Kurzfassung von mir, sondern aus dem Wiki von Bot-Trap übernommen, das hätte ich dazu schreiben sollen und die sollten eigentlich wissen, was sie in Bezug auf Sicherheit veröffentlichen.

[pmmueller]

Letztendlich ist es eine Frage der Konfiguration des Servers.

Bingo. Und genau deswegen vermeide ich 777, denn ich kenne die Konfiguration des Servers nicht

[NetMediaWork]

Bingo. Und genau deswegen vermeide ich 777, denn ich kenne die Konfiguration des Servers nicht

Hallo, das enttäuscht mich jetzt aber ... phpinfo

[pmmueller]

Sei du enttäuscht, ich verzichte lieber auf die Triple 7. Mit phpinfo hast du die PHP-Konfig im Überblick, aber doch nicht den Server.

Es geht doch nicht nur um PHP und Modul oder CGI. Es geht doch um den ganzen Server. Wer und wie viele sind da noch drauf. Was machen die. Und vielleicht sitzt da irgendwo ein übernächtigter unterbezahlter Techniker, der eine falsche Entscheidung trifft, weil ihm gerade der Kaffee über die Hose gekippt ist.

Ich betrachte Webhosting als eine Dienstleistung und gehe davon aus, dass der Webhoster und seine Angestellten wissen was sie tun. Aber ich tue das meine dazu, damit es nicht zu einer Katastrophe kommt, falls das mal nicht so ist.

Roger, over and out.

[NetMediaWork]

OK, over and out, Deine Argumentation gegen das setzen von Schreibrechten beruht auf eine grundsätzliche Ablehnung. Hintergrundwissen in Bezug auf Serverkonfiguration und deren Sicherheitsrelevanz beim Setzen von Lese-, Schreib- und Ausführungsrechten fehlt jedoch.

[RainerG]

Ich bin auch bei All-Inkl und habe wie schon beschrieben fast-CGI aktiviert (auch um auf php5 zu schalten) und danach lief alles wie von selbst. Und wenn etwas schief läuft, der Support von All-Inkl ist super und schnell.