Thema: configuration.php verstecken, wie richtig?

Wenn ich es richtig sehe, gelingen manche Hackversuche durch Ausspähen der configuration.php
Jetzt dachte ich daran (so wie es manchmal empfohlen wird) die config außerhalb des webservers zu verstecken. Muss ich dazu eigentlich nur die index.php , die index2.php und im Adminbereich zusätzlich die index3.php anpassen - oder ist da noch mehr zu tun?

Hallo,

sobald jemand im PHP Context etwas tut, dann kann er die Datei immer lesen, da Joomla ja sie lesen können muss und irgendwo muss in Joomla auch hinterlegt sein, wo die Datei liegt.

Wenn Du auf einem gut konfigurierten Server (suPHP oder PHP per CGI) bist, dann kannst du die Datei per chmod 400 insofern schützen, dass sie keiner im Kontext des Webservers lesen kann.

Warum ist das so?

Auf einem mod_php Server muss sowieso der Webserver Alles lesen dürfen, denn PHP rennt im Kontext des Webservers -> sowas kann man sicherheitstechnisch voll vergessen.

Bei suPHP oder PHP als CGI sollte der PHP Childprozess unter einem bestimmten User geforkt werden.

Angenommen das verzeichnis und die Dateien gehören dem User web1 und der gruppe web1, PHP rennt als Web1, dann müssen Verzeichnisse so konfiguriert sein, dass der Apache reinwechsels darf und die Inhalte lesen darf, chmod xx5 wäre das, da der Apache als User wwwrun der WORLD angehört. PHP selber muss er nicht lesen können, denn er forkt PHP als User Web1 und da genügt ein 4xx. Angenommen die Rechte wären: User: web1, gruppe: irgendwas, dann ist es wichtig, auch in der Mitte eine 0 stehen zu haben, also x00.

Das schützt nämlich vor anderen Usern, die das verzeichnis im Falle einer Fehlkonfig betreten können und ebenso vor einer Kompromitierung des Webserver-Users.

Wenn jemand im Kontext Deines PHP agieren kann, kannst Du machen was Du willst, er wird die Datei immer lesen können, sofern sie für den User lesbar ist (und ohne könnte Joomla die Datei ja nicht lesen)

Vielen Dank für deine ausführliche Erläuterung. Ich hab dadurch wieder mal was dazugelernt.
100 prozentige Sicherheit gibt es ja nicht, dass wusste ich auch schon vorher, aber das die alten Tipps und Tricks so einfach auszuhebeln sind, bzw. keinen sicherheitstechnischen Wert mehr haben ist schon erschreckend.

Dir Alles Gute und ein großes Danke!

Bitte, gern ;-)

Die alte configuration.php am besten noch in "snakeoil.php" umbenennen!

Denn wie a.h. bereits ganz richtig sagte:

Wenn jemand im Kontext Deines PHP agieren kann, kannst Du machen was Du willst, er wird die Datei immer lesen können, sofern sie für den User lesbar ist (und ohne könnte Joomla die Datei ja nicht lesen)

Echo-Abfrage

Klingt interessant. Leider wirft google nix zu dem Thema aus, inwieweit man das für nen exploit nutzen kann. Kannst du kurz anreißen, wie das funzt?

Aber man kann mittels eines PHP-Dokuments einige Abfragen starten

ömmm?
Und wie kommt das "böse" php script auf den Server? Wenn ich als Hacker ein beliebiges php script auf nem Server installieren darf, ist hacken irgendwie gar nicht mehr so schwer ...

Und wenn ich ein php script auf dem Server habe, gilt ja wieder das von a.h. gesagte.
Wäre also für Aufklärung dankbar welche spezielle Sicherheitslücke sich auftut, wenn die configuration.php im DocRoot liegt.