2 Instanzen von Apache - geht das, wenn ja - wie?

Hans-Dietrich Kirmse hd.kirmse at gmx.de
Mi Dez 9 20:37:26 CET 2009


Hallo Robert,

danke auch für deine Antwort.

Robert Schulze schrieb:
> Hi,
> 
> Hans-Dietrich Kirmse schrieb:
>> Trotzdem nochmal auf dein Argument zurück zu kommen: angenommen es
>> werden neue Sicherheitslücken bekannt. Wie sieht bei dieser 2-Instanzen-
>> Lösung dann das Bedrohungsszenario aus? Ich denke, ob PHP als Modul oder
>> nicht, der Zugriff (mittels sudoers) auf Scripte die dann mit root-
>> Rechten ausgeführt werden, wäre nicht mehr möglich. Und genau das ist
>> der von mir angedachte/erhoffte Sicherheitsgewinn. - Nochmal meine
>> Frage: wo denke ich da falsch?
> 
> Ja ist ja richtig, wenn du die zwei Instanzen entsprechend
> konfigurierst, sodass nur eine Instanz den Zugriff auf die
> höherpriviligierten Skripte hat.

Das ist das erste Mal, dass diese Überlegung positiv gewertet wurde. Das
ist keineswegs selbstverständlich für mich, denn ich habe im
deutschsprachigen WWW keine Anleitung dafür gefunden und ich habe sehr
lange danach gesucht. Und ich verstehe auch nicht, dass man an mehreren
Stellen vor solchen Gefahren bei den Userdirs warnt und diese
Alternative nicht aufzeigt, geschweige denn erwähnt. Zudem, in der
Skolelinuxliste gibt es wirklich Leute die Ahnung haben, aber auch die
haben (2003 bzw. 2004) einfach die html_public-Verzeichnisse
"verworfen". Da wird man schon unsicher => exotische Lösung(?)!

> Trotzdem ist suexec hier einfacher anzuwenden und bringt nebenbei _noch_
> mehr Sicherheit zumindest für die Schüler untereinander. Die
> Konfiguration des PHP würde dabei identisch sein.

Verstehe ich dich richtig - du meinst einen Apache, statt PHP als Modul
eben alles auf CGI-Basis über suexec aufgerufen?

Dann müssen aber doch auch die Programme wie Wiki (hier Mediawiki - wird
für Schule gebraucht wegen Teamarbeit) und fürs CMS als Schulportal
(hier Contenido - zur Bereitstellung von Bildern über Berichte von
Veranstaltungen ...) und nicht zuletzt eines LMS (hier Moodle - habe ich
keine Erfahrung damit, steht aber schon bereit) - dass muss doch dann
alles auch per CGI und suexec aufgerufen werden. Oder irre ich mich da?

Ich sehe hier echte Performance-Probleme. (ist aber einfach "aus dem
Bauch heraus" - ich weiss es nicht wirklich) Zudem: wir sind nunmal eine
Gruppe. Der Stand ist so, dass nur noch wenige Dienste und die
Erstellung des ISOs fehlen. Das jetzt nochmal in Frage zu stellen ohne
zwingenden(?) Grund - da sehe ich kaum Chancen. Bei dieser 2-
Instanzen-Lösung für den Apache würde sich nur sehr wenig ändern. Aber
das Anliegen, eben die Sicherheit trotz PHP in den Userdirs zu
gewährleisten, wäre aus meiner Sicht erreicht.

Will sagen, ich kann mir das unter diese Situation nicht vorstellen,
komplett auf suexec umzustellen, sofern ich dich überhaupt richtig
verstanden habe.

MfG Hans-Dietrich