Vorstellung eines umgesetzten Feature Wunsches
Geschrieben von stefan am 24.10.2006 18:37:10  (10707 * gelesen)
Datum 24.10.2006 18:37:10
Thema OPN DEV News

OPN DEV NewsSeit kurzem ist in OPN, wie ich meine, ein Interessanter Feature Wunsch integriert worden. Dabei geht es um eine Funktion die im Admin – Diagnostic zu finden ist. Genauer dort im Menü unter Information – Config Test.

Immer wieder kommt es vor das man nicht weiß ob die Rechte der Datei und oder Eigentümer der Dateien richtig gesetzt sind. Also ob OPN problemlos Dateien und Verzeichnisse anlegen, löschen und lesen kann. Meistens fällt dieses immer erst später auf, wenn Dateien tatsächlich hochgeladen werden sollen.

In diesem Programmteil versucht OPN entsprechend der getätigten Einstellungen ob es erwartungemäß geht. OPN versucht die vorhandene Server Konfiguration entsprechend zu beurteilen und Hinweis in wie weit Probleme bestehen oder ob alles perfekt ist.

Noch mal der Hinweis hier wird nicht die Datenbank getestet sondern die Datei und Verzeichnis Behandlung. Für die Datenbank gab/gibt es bereits andere Menüpunkte.

Einmal beispielhaft das Ergebnis eines Testes.

gefunden Debian sehr gut
gefunden Apache gut

gefunden allow_url_fopen on mögliches Sicherheitsrisiko
(wird als Unsicher eingestuft allerdings ist dieses für Module nötig die Daten von anderen Seiten holen, daher „mögliches“

gefunden group gid sind alle dieselben Perfekt
gefunden user uid sind alle dieselben Perfekt

Das ist der Idealzustand. In diesem Teil sind bei den Hostern die meisten Probleme vorhanden. Die Ergebnisse sind Server abhängig. Unter Windows ist diese Analyse leider nicht möglich.

Insgesamt denke ich das es eine interessante Möglichkeit bietet die eigene Konfiguration im Bereich der Dateien zu prüfen.
2 Kommentare   Druckbare Version Druckbare Version mit Kommentaren     Auf Facebook posten http://www.openphpnuke.info/system/article/index.php?opnparams=VnZRaQYzXDwAMwE%2B


Dieser Artikel stammt von der Webseite OpenPHPNuke - das Open Source CMS
http://www.openphpnuke.info

Die URL für diesen Artikel lautet
http://www.openphpnuke.info/system/article/index.php?opnparams=VnZRaQYzXDwAMwE%2B
Re: Vorstellung eines umgesetzten Feature Wunsches
von bdragon am 25.10.2006 08:50:24 http://www.pxlartist.de
Find ich Klasse,
gefunden PHP-USER-PROCESS gid < 500 Sicherheits-Risiko
was bedeutet das im Klartext? Und kann man diese Liste um Ratschläge zur Behebung erweitern? Vielleicht ja am Ende der Ausgabe die Sicherheitsmängel nochmal auflisten mit einer kurzen Erklärung und/oder Link zur Doku.[addsig]
 

Re: Vorstellung eines umgesetzten Feature Wunsches
von stefan am 25.10.2006 13:18:10

 nun alle Erklärungen dazu mit ausgeben ... hmm ... und ich weiss auch nicht in wieweit dann verschiedene Sachen nur der Betreuer des Serves beseitigen kann. Ich denke man wartet mal Fragen ab und kopiert die dann zusammen. Zur Erklärung (Stark vereinfacht). Linux hat "User" und "Gruppen" Rechte. Hier ist die Gruppe betroffen. Jeder Dienst / Prozess / Datei gehört jemanden. Das heisst will ich die Datei nutzen zugreifen muss ich die gleiche uid und oder gid haben. So jetzt ist es so das man grundsätzlich durch die "Höhe" der uid / gid auf die "Wichtigkeit" schliessen kann. Alle "System" Sachen sind bis 500 untergebracht. (Beispiel 0 = root Wichtigsten) Aus beiden inhalten kann ich jetzt mutmassen. Wenn ich als PHP Script mit einer (kleinen) gid Laufe kann ich auf Wichtige System Prozese zugreifen. Natürlich ist das jetzt Stark vereinfacht und es 100te Gründe wieso dieses dann Trotzdem sicher sein kann. Stichwort safe_modus (wird noch mal die uid geprüft (wieder ausnahe möglich wenn nur die gid geprüft werden soll)). Auch wäre es denkbar das sich der Admin des Serves da ne groupe freigeschaufelt hat die keinen anderen bezug hat. Evt. ist es etwas "gemein" das grund sätzlich als Sicherheitsrisiko einzustufen allerdings kann es nie schaden sowas noch einmal auf den Tisch zubekommen und das System entsprechend zu prüfen. Die Nummer wird ja auch im Klartext ausgeben somit kann man da trozdem noch erkennen was es denn ist.[addsig]