Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > de.comm.software.webserver > #1422 > unrolled thread

Scriptsammlung isolierter Vhost

Back to article view | Back to de.comm.software.webserver

Contents

  Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-14 11:17 +0200
    Re: Scriptsammlung isolierter Vhost Arno Welzel <usenet@arnowelzel.de> - 2022-06-14 14:07 +0200
      Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-14 15:26 +0200
        Re: Scriptsammlung isolierter Vhost Arno Welzel <usenet@arnowelzel.de> - 2022-06-14 16:57 +0200
          Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-14 19:25 +0200
            Re: Scriptsammlung isolierter Vhost Karl Pflästerer <k@rl.pflaesterer.de> - 2022-06-15 11:18 +0200
              Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-15 12:21 +0200
                Re: Scriptsammlung isolierter Vhost Karl Pflästerer <k@rl.pflaesterer.de> - 2022-06-15 16:58 +0200
                  Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-15 19:05 +0200
                    Re: Scriptsammlung isolierter Vhost Karl Pflästerer <k@rl.pflaesterer.de> - 2022-06-15 19:43 +0200
                      Re: Scriptsammlung isolierter Vhost Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2022-06-15 18:54 +0000
                        Re: Scriptsammlung isolierter Vhost Karl Pflästerer <k@rl.pflaesterer.de> - 2022-06-15 22:39 +0200
                          Re: Scriptsammlung isolierter Vhost Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2022-06-16 13:25 +0000
                        Re: Scriptsammlung isolierter Vhost Laurenz Trossel <me@example.invalid> - 2022-06-15 23:24 +0000
                      Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-15 21:01 +0200
                        Re: Scriptsammlung isolierter Vhost Karl Pflästerer <k@rl.pflaesterer.de> - 2022-06-15 22:28 +0200
                          Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-15 23:08 +0200
                            Re: Scriptsammlung isolierter Vhost Laurenz Trossel <me@example.invalid> - 2022-06-15 21:32 +0000
                              Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-16 00:35 +0200
                                Re: Scriptsammlung isolierter Vhost Laurenz Trossel <me@example.invalid> - 2022-06-15 23:21 +0000
                                  Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-16 10:50 +0200
                                    Re: Scriptsammlung isolierter Vhost Laurenz Trossel <me@example.invalid> - 2022-06-16 18:04 +0000
                                      Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-17 11:01 +0200
                                        Re: Scriptsammlung isolierter Vhost Laurenz Trossel <me@example.invalid> - 2022-06-17 09:50 +0000
                            Re: Scriptsammlung isolierter Vhost Karl Pflästerer <k@rl.pflaesterer.de> - 2022-06-16 23:51 +0200
                              Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-17 09:33 +0200
                            Re: Scriptsammlung isolierter Vhost Arno Welzel <usenet@arnowelzel.de> - 2022-06-21 02:46 +0200
                              Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-21 09:45 +0200
                        Re: Scriptsammlung isolierter Vhost Arno Welzel <usenet@arnowelzel.de> - 2022-06-21 02:43 +0200
                      Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-16 20:02 +0200
                        Re: Scriptsammlung isolierter Vhost Karl Pflästerer <k@rl.pflaesterer.de> - 2022-06-16 23:40 +0200
                Re: Scriptsammlung isolierter Vhost Arno Welzel <usenet@arnowelzel.de> - 2022-06-21 02:40 +0200
            Re: Scriptsammlung isolierter Vhost Arno Welzel <usenet@arnowelzel.de> - 2022-06-21 02:39 +0200
              Re: Scriptsammlung isolierter Vhost Thomas Hochstein <thh@thh.name> - 2022-06-21 07:46 +0200
                Re: Scriptsammlung isolierter Vhost Arno Welzel <usenet@arnowelzel.de> - 2022-06-21 19:42 +0200
                  Re: Scriptsammlung isolierter Vhost Laurenz Trossel <me@example.invalid> - 2022-06-21 20:01 +0000
                    Re: Scriptsammlung isolierter Vhost Arno Welzel <usenet@arnowelzel.de> - 2022-06-22 02:25 +0200
                  Re: Scriptsammlung isolierter Vhost Thomas Hochstein <thh@thh.name> - 2022-07-02 14:19 +0200
                    Re: Scriptsammlung isolierter Vhost Arno Welzel <usenet@arnowelzel.de> - 2022-07-02 14:55 +0200
              Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-21 09:49 +0200
                Re: Scriptsammlung isolierter Vhost Arno Welzel <usenet@arnowelzel.de> - 2022-06-21 19:49 +0200
                  Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-21 21:18 +0200
                    Re: Scriptsammlung isolierter Vhost Arno Welzel <usenet@arnowelzel.de> - 2022-06-21 21:25 +0200
      Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-18 14:49 +0200
      Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-18 14:52 +0200
        Re: Scriptsammlung isolierter Vhost Arno Welzel <usenet@arnowelzel.de> - 2022-06-21 02:53 +0200
          Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-21 10:10 +0200
            Re: Scriptsammlung isolierter Vhost Arno Welzel <usenet@arnowelzel.de> - 2022-06-21 19:49 +0200
              Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-21 21:05 +0200
                Re: Scriptsammlung isolierter Vhost Arno Welzel <usenet@arnowelzel.de> - 2022-06-21 21:19 +0200
                  Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-21 21:55 +0200
                    Re: Scriptsammlung isolierter Vhost Arno Welzel <usenet@arnowelzel.de> - 2022-06-22 02:25 +0200
                      Re: Scriptsammlung isolierter Vhost Tim Ritberg <tim@server.invalid> - 2022-06-22 09:24 +0200

Page 3 of 3 — ← Prev page 1 2 [3]

#1463

Tim Ritberg:

> 
> Am 21.06.22 um 02:39 schrieb Arno Welzel:
>>
>> Apache hat einen Bug, der dazu führt, dass man über eine bestimmte URL
>> aus dem DocumentRoot des virtuellen Hosts ausbrechen kann und die Daten
>> anderer virtueller Hosts über die Domain zu lesen.
>>
>> Ja - das wäre theoretisch denkbar. Aber da www-data ohnehin auf Websites
>> zugreifen darf - was genau würde man damit gewinnen, statt einfach über
>> die vorgesehene Domain zuzugreifen?
> Schon mal mit einem CMS gearbeitet? Was da so alles im DocRoot liegt.

Ja - nicht nur mit einem. Ich hoste aktuell ca. 40 Websites, die sowohl
WordPress wie auch andere CMS nutzen, betreibe mehrere
Nextcloud-Instanzen und Mailserver und bin Maintainer mehrerer Plugins
für WordPress und Nextcloud.

> Es ist also kein theoretisches Problem.

Dann kannst Du sicher ein konkretes Angriffsszenario beschreiben, was
trotz suEXEC und eigener User/Group für PHP in jeder Website etc.
ausnutzbar ist.


-- 
Arno Welzel
https://arnowelzel.de

[toc] | [prev] | [next] | [standalone]

#1466

Am 21.06.22 um 19:49 schrieb Arno Welzel:
> Dann kannst Du sicher ein konkretes Angriffsszenario beschreiben, was
> trotz suEXEC und eigener User/Group für PHP in jeder Website etc.
> ausnutzbar ist.
Für wärs hiermit?

https://zero.bs/sb-2120-critical-bug-in-apache-httpd-can-lead-to-rce-cve-2021-41773.html

Man sollte also dem Apache-User die Leserechte für die DB-Config nehmen.

Tim

[toc] | [prev] | [next] | [standalone]

#1468

Tim Ritberg:

> Am 21.06.22 um 19:49 schrieb Arno Welzel:
>> Dann kannst Du sicher ein konkretes Angriffsszenario beschreiben, was
>> trotz suEXEC und eigener User/Group für PHP in jeder Website etc.
>> ausnutzbar ist.
> Für wärs hiermit?
> 
> https://zero.bs/sb-2120-critical-bug-in-apache-httpd-can-lead-to-rce-cve-2021-41773.html
> 
> Man sollte also dem Apache-User die Leserechte für die DB-Config nehmen.

Was ja nicht schwer ist - PHP-FPM läuft mit einem eigenen User und nicht
"www-data" und "www-data" bekommt keine Leserechte auf die relevanten
Dateien.


-- 
Arno Welzel
https://arnowelzel.de

[toc] | [prev] | [next] | [standalone]

#1450

Am 14.06.22 um 14:07 schrieb Arno Welzel:
> Nein, tut man nicht. Nicht Apache soll mit einem anderen User laufen,
> sondern PHP. Und letzteres erreicht man, indem man PHP-FPM nutzt und den
> Pool entsprechend konfiguriert, den gewünschten User zu verwenden.
> 
Wie sieht das mit der Gruppe aus?
Ich hatte da nobody im Kopf, www-data wäre kontraproduktiv.

Tim

[toc] | [prev] | [next] | [standalone]

#1451

Am 14.06.22 um 14:07 schrieb Arno Welzel:
> Nein, tut man nicht. Nicht Apache soll mit einem anderen User laufen,
> sondern PHP. Und letzteres erreicht man, indem man PHP-FPM nutzt und den
> Pool entsprechend konfiguriert, den gewünschten User zu verwenden.
> 
Wie sieht das mit der Gruppe aus?
Ich hatte da nogroup im Kopf, www-data wäre kontraproduktiv.


Tim

[toc] | [prev] | [next] | [standalone]

#1457

Tim Ritberg:

> Am 14.06.22 um 14:07 schrieb Arno Welzel:
>> Nein, tut man nicht. Nicht Apache soll mit einem anderen User laufen,
>> sondern PHP. Und letzteres erreicht man, indem man PHP-FPM nutzt und den
>> Pool entsprechend konfiguriert, den gewünschten User zu verwenden.
>>
> Wie sieht das mit der Gruppe aus?

Die kann man bei PHP auch angeben. Siehe /etc/php/<version>/fpm/pool.d/,
wo die Konfiguration verwendet wird, wie in
<https://www.php.net/manual/de/install.fpm.configuration.php> beschrieben.

> Ich hatte da nogroup im Kopf, www-data wäre kontraproduktiv.

Nein, einfach eine eigene Gruppe pro User.


-- 
Arno Welzel
https://arnowelzel.de

[toc] | [prev] | [next] | [standalone]

#1461

Am 21.06.22 um 02:53 schrieb Arno Welzel:
> Die kann man bei PHP auch angeben. Siehe /etc/php/<version>/fpm/pool.d/,
> wo die Konfiguration verwendet wird, wie in
> <https://www.php.net/manual/de/install.fpm.configuration.php> beschrieben.
> 
>> Ich hatte da nogroup im Kopf, www-data wäre kontraproduktiv.
> 
> Nein, einfach eine eigene Gruppe pro User.
Finde ich unschön, was spricht gegen nogroup?


Tim

[toc] | [prev] | [next] | [standalone]

#1464

Tim Ritberg:

> Am 21.06.22 um 02:53 schrieb Arno Welzel:
>> Die kann man bei PHP auch angeben. Siehe /etc/php/<version>/fpm/pool.d/,
>> wo die Konfiguration verwendet wird, wie in
>> <https://www.php.net/manual/de/install.fpm.configuration.php> beschrieben.
>>
>>> Ich hatte da nogroup im Kopf, www-data wäre kontraproduktiv.
>>
>> Nein, einfach eine eigene Gruppe pro User.
> Finde ich unschön, was spricht gegen nogroup?

Was spricht dafür?


-- 
Arno Welzel
https://arnowelzel.de

[toc] | [prev] | [next] | [standalone]

#1465

Am 21.06.22 um 19:49 schrieb Arno Welzel:
> Was spricht dafür?
Nur eine Gruppe und nicht einen Wust. Ausserdem ist nogroup genau dafür da.

Tim

[toc] | [prev] | [next] | [standalone]

#1467

Tim Ritberg:

> Am 21.06.22 um 19:49 schrieb Arno Welzel:
>> Was spricht dafür?
> Nur eine Gruppe und nicht einen Wust. Ausserdem ist nogroup genau dafür da.

Aber ein "Wust" an Usern ist akzeptabel?

Der User "nobody" und die Gruppe "nogroup" sind für Dienste gedacht, die
*keine* Dateien lesen können sollen. Ein Webserver oder PHP-FPM muss
aber Dateien lesen können und sinnvollerweise hat man dafür einen User
und ggf. eine primäre Gruppe mit dem selben Namen.

Und zum Angriffsszenario "Angreifer hat die Rechte von www-data":

Das ist nur relevant, wenn man einem Nutzer Zugriff auf den Webspace
gibt und er dort auch Scripte mit PHP o.Ä. nutzen darf, die dann mit den
Rechten von www-data auch andere Dateien als die im eigenen Webspace
lesen dürften. Genau das wird aber damit verhindert, dass man PHP selbst
eben *nicht* mit www-data laufen lässt und die Nutzung von CGI etc.
nicht erlaubt.


-- 
Arno Welzel
https://arnowelzel.de

[toc] | [prev] | [next] | [standalone]

#1469

Am 21.06.22 um 21:19 schrieb Arno Welzel:
> Der User "nobody" und die Gruppe "nogroup" sind für Dienste gedacht, die
> *keine* Dateien lesen können sollen. Ein Webserver oder PHP-FPM muss
> aber Dateien lesen können und sinnvollerweise hat man dafür einen User
> und ggf. eine primäre Gruppe mit dem selben Namen.
Für den PHP-Prozess brauche ich aber keine Gruppe. Alle Aktionen laufen 
über den User.


Tim

[toc] | [prev] | [next] | [standalone]

#1472

Tim Ritberg:

> Am 21.06.22 um 21:19 schrieb Arno Welzel:
>> Der User "nobody" und die Gruppe "nogroup" sind für Dienste gedacht, die
>> *keine* Dateien lesen können sollen. Ein Webserver oder PHP-FPM muss
>> aber Dateien lesen können und sinnvollerweise hat man dafür einen User
>> und ggf. eine primäre Gruppe mit dem selben Namen.
> Für den PHP-Prozess brauche ich aber keine Gruppe. Alle Aktionen laufen 
> über den User.

Dann trage eben nogroup beim PHP-FPM-Pool ein. Prinzipiell sollte das gehen.


-- 
Arno Welzel
https://arnowelzel.de

[toc] | [prev] | [next] | [standalone]

#1473

Am 22.06.22 um 02:25 schrieb Arno Welzel:
> Dann trage eben nogroup beim PHP-FPM-Pool ein. Prinzipiell sollte das gehen.
Habe ich schon gemacht, bisher keine Probleme damit gesehen.
Mit einer ACL bekommt dann www-data noch Leserechte.

Tim

[toc] | [prev] | [standalone]

Page 3 of 3 — ← Prev page 1 2 [3]

Back to top | Article view | de.comm.software.webserver

csiph-web