Sicherheit von Multisiteinstallationen
Eingetragen von Cyberschorsch (782)am 10.07.2009 - 10:26 Uhr in
Hallo Community!
Seit ein paar Tagen beschäftige ich mich doch intensiver mit Multisite und Drupal.
Was mir jetzt etwas Sorgen macht, ist die Sicherheit. Gehen wir zunächst von folgender Installation aus:
Wir haben das Drupalsystem unter:
/path/to/drupal/
und wir haben die Dateien für die Seiten unter
/home/example.com/
Dort liegen dann settings.php, files, modules und themes
Im Ordner /path/to/drupal/sites legen wir nun Symlinks wiefolgt an:
ln -s /home/example.com/ example.com
Wenn wir nun als DocumentRoot für die jeweiligen Seiten /path/to/drupal/ anlegen, dann sucht sich Drupal die settings.php aus dem Ordner, den wir mit dem Symlink erzeugt haben.
In der php.ini legen wir ein Openbasedir mit folgenden Einstellungen an:
open_basedir = "/path/to/drupal:/home/example.com" (dazu noch die temp verzeichnisse und share verzeichnisse).
Jetzt meine Überlegung: Kann man jetzt noch über example.com an die settings.php von foobar.com gelangen? Eigentlich sollte das ja mit der Openbasedir Beschränkung ja nicht möglich sein. Gibt es da Wege? (Gehen wir mal von einem aktuellen System aus mit aktuellem apache, php, mysql ...)
- Anmelden oder Registrieren um Kommentare zu schreiben
open_basedir (was RE: Sicherheit von Multisiteinstallationen)
am 11.07.2009 - 10:46 Uhr
open_basedir = "/path/to/drupal:/home/example.com" (dazu noch die temp verzeichnisse und share verzeichnisse).
Jetzt meine Überlegung: Kann man jetzt noch über example.com an die settings.php von foobar.com gelangen?
Theoretisch nicht, aber:
open_basedirgibt lediglich ein paar Beispiele an, was mit "auf eine Datei zugreifen" gemeint ist, lässt aber offen ob es auch fürinclude_onceund seine Geschwister gilt.Außerdem musst du natürlich jeder Site eine eigene
php.inigeben.--