Hallo zusammen,
ich wurde von einem Kunden darauf hingewiesen, dass er z.B. mit den PHP-Fuktionen exec und system die Logdateien anderer Kunden einlesen kann. Diese Funktionen kann ich natürlich nicht sperren, da Typo3 etc massiv davon Gebrauch machen wenn z.B. Bilder generiert werden.
Die Verzeichnisrechte unter /var/www/clients sind meiner Meinung nach etwas zu offen, die log-Verzeichnisse und Dateien darin sind für others lesbar. Kann man das einschränken ohne die Funktionalität von ISPConfig zu gefährden? Wie macht Ihr das so? Und wie schützt Ihr Euch vor WebShells?
ich wurde von einem Kunden darauf hingewiesen, dass er z.B. mit den PHP-Fuktionen exec und system die Logdateien anderer Kunden einlesen kann. Diese Funktionen kann ich natürlich nicht sperren, da Typo3 etc massiv davon Gebrauch machen wenn z.B. Bilder generiert werden.
Die Verzeichnisrechte unter /var/www/clients sind meiner Meinung nach etwas zu offen, die log-Verzeichnisse und Dateien darin sind für others lesbar. Kann man das einschränken ohne die Funktionalität von ISPConfig zu gefährden? Wie macht Ihr das so? Und wie schützt Ihr Euch vor WebShells?