Besitzer wwwrun=Sicherheitslücke???
Hallo!
Mein Hoster will mir die Besitzerrechte nicht recht auf wwwrun schalten, weil er es Sicherheitsrisiko ansieht. Ist das plausibel oder eher Angstmacherei wegen "Faulheit"? ;-) Sollte ein aktuelles Joomla 1.5 System nicht recht sicher sein? Im übrigen ist die Seite nicht sooo wahnsinnig groß und ich sichere Datenbank und Daten in vernünftigen Abständen (was der Hoster ja eigentlich auch tun sollte)...
thx4hints
Hier mal ein paar Infos zum Thema:
http://www.joomla-tutorials.de/frage...-erklaert.html
und
http://projects.joomlates.de/joomla/...oblematik.html
Sollte eigentlich deine Fragen beantworten, ansonsten hilft die SuFu weiter.
Das wwwrun Problem ist mir eh bekannt... ich kann nur daraus, das der Besitzer auf wwwrun geändert wird, wobei ja die Rechte NICHT auf 777 geändert werden, kein Sicherheitsrisiko schließen... am ehesten per Einschleusen eines Schad-Scripts - aber da sollte joomla 1.5 ja nicht sooo leicht zu überlisten sein, oder?
Am sichersten ist in diesem Fall der Joomla-FTP Layer...kommt aber auf die verwendeten Komponenten an, denn einige halten sich nicht an die Joomla-API!
Moin
Das sind doch einfach die Standart User. wwwrun ist meist bei OpenSuse und Apache
www-data bei Debian und Apache
Ziel sollte es doch immer sein das FTP und eben der Webserver Apache unter einer Gruppe arbeiten können.
Mit freundlichen Grüßen
Alex
Homepage: Boppert-IT | JomSocial Worker | JomSocial Gruppe | JUG-Frankfurt |
Neues zusätzliches Joomla-Projekt coming soon
Wenn aber PHP als mod_php des Apache geladen wird hat der Webbenutzer (wwwrun) nicht die Zugriffsrechte auf die Dateien zuzugreifen die dem FTP-Benutzer gehören! Wird PHP per CGI/FCGI geladen funktioniert das schon.
Deswegen ist die sicherste Lösung, das Joomla einfach auch auf FTP-Ebene arbeitet und nicht auf Datei-Ebene (wwwrun)
Die wenigsten lassen aber eben Php als Modul laufen.
Lg Alex
Homepage: Boppert-IT | JomSocial Worker | JomSocial Gruppe | JUG-Frankfurt |
Neues zusätzliches Joomla-Projekt coming soon
Falsch, die MEISTEN lassen PHP als Modul des Apache laufenZitat von alex33kassel
Hat auch nen Grund...
PHP als Modul des Apache ist um einiges Ressourcenschonender und aus diesem Grund kann ein Hoster mehr Kunden auf einen Server "pferchen"! Auch ist das Modul viel leichter einzurichten als CGI/FCGI...
;-) Gibt es nun ein ernstzunehmendes Sicherheitsrisiko, wenn das komplette Joomla-System (inkl. Bilddaten,etc.) wwwrun gehört? ... Ich habe nämlich nicht vor, per FTP irgendwas auf das system zu laden.
Sorry Du hast völlig Recht...war grad in Gedanken.Falsch, die MEISTEN lassen PHP als Modul des Apache laufen
Hat auch nen Grund...
PHP als Modul des Apache ist um einiges Ressourcenschonender und aus diesem Grund kann ein Hoster mehr Kunden auf einen Server "pferchen"! Auch ist das Modul viel leichter einzurichten als CGI/FCGI...
Lg Alex
Homepage: Boppert-IT | JomSocial Worker | JomSocial Gruppe | JUG-Frankfurt |
Neues zusätzliches Joomla-Projekt coming soon
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen