2 Instanzen von Apache - geht das, wenn ja - wie?

Hans-Dietrich Kirmse hd.kirmse at gmx.de
Mo Dez 7 20:25:06 CET 2009 

Hallo Robert,

Robert Schulze schrieb:
> Hallo,
> 
> Hans-Dietrich Kirmse schrieb:
>> Das bedeutet doch erstmal, dass www-data die Möglichkeit hat, Scripte
>> zur Userverwaltung mit root-Rechten auszuführen. Das User mit selbst
>> geschriebenen PHP-Scripten in den "Userdirs" damit prinzipiell auch
>> unter dieser UID auf diese Scripte zugreifen könnten wird doch nur durch
>> (hoffentlich korrekte) Konfiguration von PHP sichergestellt. Und da ist
>> die korrekte Kofniguration schon unter Experten recht strittig.
> 
> Fast unmöglich würde ich persönlich behaupten.
> In PHP kommen immer wieder Sicherheitslücken raus, bei denen die
> jeweilige Konfiguration umgangen werden kann.

und das bedeutet doch, wenn die Konfiguration (fast) keine rolle für die
Sicherheit mehr spielt, das es einen erheblichen Sicherheitsgewinn gibt
- oder?

> Wie bereits am Anfang des Threads beschrieben: nimm suexec, dort läuft
> der PHP-Prozess immer unter dem Kontext des Benutzers - er kann dies
> nicht umgehen und sehr wenig kaputt machen.

diese Argumentation gehe ich mit. Aber trotzdem werde ich das nicht
durchsetzen können. Ich bin der Perl-Programmierer und werde wohl kaum
den PHP-Programmierern ihre Konfiguration "madig" machen können. Zudem
hat sich diese in 10 Jahren Schulserverpraxis ja bewährt (was aber
hinsichtlich Sicherheit m.E. nichts zu sagen hat). Nur, ich werde so
nicht überzeugen können.

> Stichwörter wie "langsam" kannst du bequem ad acta legen, insbesondere
> in so einem kleinen Setup. Sicherlich gibt es Anforderungsbereiche, in
> denen mod_php angebracht ist, jedoch ist die sicherste und vor allem
> stabilere (da PHP nicht im Webserver drinsteckt) Lösung die mit suexec.
> 
> Das hat auch nix damit zu tun, ob man nun noch auf eine DB zugreifen
> will oder sonstwas. Hinsichtlich des Funktionsumfangs wird ein Skript
> nicht beschnitten, wenn es als gesonderter Prozess läuft.

alles okay, aber bei Teamarbeit ist eben auch zu beachten, das jeder für
seinen Bereich zuständig ist. die Lösung mit den 2 Instanzen ändert an
der eigentlichen Lösung nichts (allerdings muss sie funktionieren, was
sie momentan nicht macht).

Trotzdem nochmal auf dein Argument zurück zu kommen: angenommen es
werden neue Sicherheitslücken bekannt. Wie sieht bei dieser 2-Instanzen-
Lösung dann das Bedrohungsszenario aus? Ich denke, ob PHP als Modul oder
nicht, der Zugriff (mittels sudoers) auf Scripte die dann mit root-
Rechten ausgeführt werden, wäre nicht mehr möglich. Und genau das ist
der von mir angedachte/erhoffte Sicherheitsgewinn. - Nochmal meine
Frage: wo denke ich da falsch?

Mit freundlichen Grüßen
Hans-Dietrich