Safe_mode on oder off?

StegRene · 03 Januar 2008, 10:01:26

Hallo Leute,

mal eine vielleicht dumme Frage - wenn ich mich mit meinem Server besser auskennen würde:

Ich habe immer wieder das Problem, dass ich config-Files bei automatischen Installationen per Hand anlegen, oder bei Pragma-Upgrades zum Beispiel eine Liste mit 100 Files per Hand löschen muss, weil der Server das automatisch nicht zuläßt.

Nun bin ich bereits so weit, dass ich erkannt habe, dieses Problem sollte am Safe-mode liegen.
Die PHP-Info auf meinem Server wirft folgendes aus:

Zitat
Configuration
PHP Core
Directive   Local Value   Master Value
safe_mode   On   On
safe_mode_exec_dir   /srv/www/htdocs/empty/   no value
safe_mode_gid   Off   Off
safe_mode_include_dir   no value   no value

Heisst für mich, der Safe-Mode ist an.

Nun stellen sich für mich folgende Fragen:

1. Wo und wie genau könnte man das umstellen?

2. Ist es sinnvoll, diese Sicherheit aufzugeben? Für irgendwas muss das ja gut sein, oder sehe ich das falsch?

Ich freue mich auf eine spannende Diskussion und viele zielführende Ratschläge

Vidar · 03 Januar 2008, 11:38:44

Also in der Regel ist bei einem normalen Webhosting-Paket der "safe mode" off. So kenne ich das. Dürfte also weniger schlimm sein, wenn du es abstellst. Wie du es allerdings abstellen kannst, kann ich dir leider nicht erklären, da ich "noch" keinen eigenen Server besitze.

maverik · 03 Januar 2008, 11:40:32

moin

Zitat2. Ist es sinnvoll, diese Sicherheit aufzugeben? Für irgendwas muss das ja gut sein, oder sehe ich das falsch?

http://de.php.net/manual/de/features.safe-mode.php

Zitat1. Wo und wie genau könnte man das umstellen?

wenn du ein hosting hast wird es dir dein provider ein/ausschalten müssen. hast du einen eigenen server solltest du eine verwaltungsoberfläche wie zb plesk oder confixx etc haben. im plesk stelle ich das beim setup einer neuen domain ein.

der safe mode hat aber nichts mit der installation von pragma zu tun, mein safe mode ist off und ich muss auch von hand löschen.

so long maverik

StegRene · 03 Januar 2008, 12:02:14

Hallo Maverik,

danke - jetzt bin ich ein wenig schlauer.
Durch den Link blick ich zwar nur halb durch, aber ich muss mir das wohl mehrmals durchlesen

Mit was hat es dann zu tun, weisst Du das zufällig?
Ja, ich habe einen eigenen Server....... dort funktioniert es nicht, mit dem Löschen.

Auf dem Wespace eines Kunden wiederum funktioniert es klaglos.
Daher dachte ich, es wäre der SafeMode zuständig.

FrankP · 03 Januar 2008, 13:00:29

Sehr(!) einfach beschrieben, verhindert der safe_mode, dass php etwas ausführen darf, was ihm nicht "erlaubt" ist. Dies ist ansich eine gute Sache. Wenn diese Restriktion abgeschalten wird, muss sie mit anderen Mitteln wieder eingeführt werden. Das läßt sich z.B. über open_basedir, suphp und den Benutzerechten auf dem Server regeln.

Wenn z.B. kein open_basedir gesetzt ist und php als Apachemodul mit dessen Rechten läuft, ist der safe_mode die letzte Instanz, die den Server davor bewahrt, dass ein Angreifer "klettert".

Also bitte nicht einfach irgendwo draufklicken und schwups ist der böse safe_mode deaktiviert, sondern den Server analysieren, ob du ihn überhaupt abschalten kannst, da andere Restriktionen greifen. Viele Provider haben nicht so recht den Plan und aktivieren ihn, obwohl es nicht nötig wäre. Andere wiederum aktivieren ihn bewußt, weil sie keinen Plan haben, wie sie es sonst regeln sollen. Manche Server lassen es auch nicht zu. Auf unseren älteren Confixx Servern (ja ich weiß, Confixx, war ne Jugendsünde) auf denen php noch als Apache Modul läuft, ist er auch bei uns aktiviert. Dort nehmen wir aber keine neuen Kunden mehr auf, sowas ist nicht mehr zeitgemäß.

Ich würde bei solchen Fragen grundsätzlich zuerst den Provider kontaktieren. Er hat den Server gebaut (außer die Kids, die sich fertige Billigserver mieten und dann Provider spielen) und er muss folglich wissen, ob und wie du das bewerkstelligen kannst.

StegRene · 03 Januar 2008, 13:53:24

Danke Frank!

Es handelt sich in dem Fall um Strato, die sollten wissen, was Sache ist

Und, ich bin auch noch ein Confixx-User, ich möcht da auch gar nicht weg, ehrlich gesagt

Gut, aber wenn das Löschen und Updaten der Files gar nicht am SafeMode liegt, was kann dann das Problem sein?

AndyWHV · 04 Januar 2008, 11:42:17

Zunächst mal wären die Rechte der Ordner und Dateien interessant.
Dann wäre noch interessant ob PHP als CGI oder als Apache Modul läuft.
Wenn es als CGI läuft - unter welchem User läuft es ?

Wenn diese Dinge bekannt sind, kann man sagen warum nicht gelöscht werden kann.
Beispiel:
PHP als Apache Modul:
Die Webseiten werden als Benutzer www,apache,httpd, nobody oder ähnliches ausgeführt .
Du hast die Dateien vermutlich über FTP hochgeladen (beispielsweise als User web27).

Ordnerrechte: rwxr-xr-x web27:web27 html
Dateirechte: rwxr-xr-x web27:web27 index.html

Das würde bedeuteten: Nur der Benutzer web27 hat Rechte zum beschreiben des Ordners html.
Wenn nun per Skript etwas gelöscht werden soll (index.html), dann läuft das Skript als Benutzer nobody und hat nur Rechte den Ordner zu verwenden oder zu lesen - das gleiche bei der Datei.
Ein Transfer per webftp könnte hier unter Umständen Abhilfe schaffen, da die Dateien dann als nobody angelegt werden (was nicht zwingend so sein muß, da man auch hier andere Benutzer verwenden kann) - sind die Dateien dann auch für "nobody" beschreibbar - alles hat seine Vor- und seine Nachteile.

Liebe Grüße,
Andy;-)

StegRene · 04 Januar 2008, 13:18:10

Hallo Andy,

vielen Dank, soweit hab ich das verstanden.
Wie bekomme ich raus, als was das PHP bei mir läuft?
Seh ich das per phpinfo() ?

AndyWHV · 04 Januar 2008, 21:26:27

korrekt, in der Ausgabe von phpinfo kannst du es sehen, sehr weit oben unter dem Punkt "Server API".

Falls du WebFTP hast, kannst du auch mal versuchen eine Datei per WebFTP hochzuladen und eine per externem FTP-Client.
Und dann schauen welchem Benutzer diese Dateien gehören und welche Rechte die Files haben.

Gruß,
Andy;-)

StegRene · 04 Januar 2008, 22:20:53

Ok, das werd ich mir morgen abend mal anschauen.
WebFTP - klar, ist mein eigner Server.

Darf ich mich per PN an Dich wenden, wenn es Fragen gibt?

AndyWHV · 05 Januar 2008, 00:44:07

Wenn möglich bitte hier weiter machen.
So kann es auch anderen Usern zu gute kommen, die ein ähnliches Problem bei sich bemerken.

Wenn es ein eigener Server ist würde ich dringend Einarbeitung in die Materie empfehlen - oder jemanden der die Kiste managed/überwacht oder zumindest von Zeit zu Zeit mal überprüft. Je nach Konfiguration kann man sonst einem Angreifer schnell mal Tür und Tor öffnen, was schnell gefährlich werden kann - und zwar ohne das man es bemerkt.

Und selbst der sicherste Server ist nicht 100% sicher. Aber 90% Sicherheit sind besser als 0,9% Sicherheit ;-)

Gruß,
Andy;-)

picovida · 03 Februar 2008, 03:37:26

Ich weiß zwar nicht, ob das Problem inzwischen behoben ist, aber das stellt man überlicherweise in der Datei php.ini ein, die je nach Betriebssystem zu finden ist, meist unter /etc.

Bei Strato wird man diese Änderung keinesfalls zulassen, da dies außerhalb der weit genormten Standardeinrichtung liegt. Diese Erfahrung habe ich gemacht.

Bei eigenem Server oder anderen Hostern ist das kein Problem, weil es nur auf eine Umgebung, sprich einen Webspace Auswirkungen besitzt.

StegRene · 03 Februar 2008, 09:04:48

Stimmt, den hier hatte ich ganz und gar vergessen.......

@picovida: Da es mein eigner Server ist, hätte auch Strato nix dagegen.

Ich hab es jetzt jedenfalls so gelöst, dass ich "Safemode off" nur für die Domains gesetzt habe, wo ich es zwingend benötige. Jedoch ändert das nichts daran, dass die Install-Scripte vom Pragma weder Dateien umbenennen noch löschen dürfen.......

@andy: Schwebt Dir da jemand vor?

AndyWHV · 05 Februar 2008, 09:50:46

Hallo René,

natürlich schwebt mir da jemand vor, da ich ja mit so was mein Geld verdiene, allerdings nicht auf jedem Server (ich mag diese Lockangebote einfach nicht).
In erster Linie würde ich empfehlen dir einen passenden Hoster zu suchen, der auch Support bietet, so etwas funktioniert relativ einfach -> http://www.pragmamx.org/ aufrufen und unten rechts in die Ecke schauen (das orangene Symbol mit dem Namen Abundus).

Es gibt relativ wenig Provider die Ihren Kunden Support bieten, leichter ist es einen zu finden der sagt - "Hier hast du einen Server für 50 Cent - nun mach mal". So was machen natürlich viele Leute - denn dann hat man ja einen eigenen Server. Verkäufer verdient an der Masse, Käufer ist glücklich. Wenn dann Serverprobleme anfallen, hat man aber immerhin die Wahl das Betriebssystem neu zu installieren (per Webinterface Knopfdruck natürlich) und von vorn anzufangen - oder man liest sich nun in die Materie ein.

Wichtig ist bei Servern einfach, dass diese gewartet und geprüft werden, große Hostern machen das mit den eigenen Maschinen natürlich, aber für das geringste Geld ist eben auch nur der geringste Service zu erwarten. Natürlich muss jeder sehen, dass er etwas findet, was für Ihn und seinen Geldbeutel passend ist.

Lieben Gruß,

Andy;-)

StegRene · 05 Februar 2008, 14:21:09

Hallo Andy,

danke für Deine Antwort. Die Grundlagen sind klar, meine Maschine steht bei Strato.
Der Rechner an sich reicht für mich, daher möchte ich ungern wechseln, ich hab keinen gefunden, der mir einen Server im selben Preis/Leistungsverhältnis anbieten kann.

Ausserdem bin ich ja recht glücklich da, es ist nur so, dass ich auch nicht Pilot werde, nur weil ich wöchtenlich zwischen Deutschland und Österreich tingle.....
Und alle Webs umziehen ist sicher auch nicht so spassig, zumal ich alles auf Grund der geänderten IP umstellen müsste......

Aus diesen Gründen wäre mir jemand lieb, der ab und an mal auf meinen bestehenden Server schaut.
Früher hatten wir so eine Person, aber seit eine bestimmte Mitarbeiterin aus dem Unternehmen ausgeschieden ist, haben wir diese Person leider nicht mehr......