tab-kh wrote: ↑Sat 28. May 2022, 14:08 Das Problem mit den Symlinks ist unabhängig von Keyhelp schon seit langem bekannt. SymLinksIfOwnerMatch hilft, bringt aber auch keine absolute Sicherheit (sofern es so etwas überhaupt gibt). Es gibt da eine Race Condition, die sich mit entsprechender Software ausnutzen liesse. Abhilfe schafft hier ein Patch des Linux Kernels. Ich weiss nicht, ob mittlerweile die Sicherheitsprobleme mit Symlinks im Apache gefixt sind, oder ob es immer noch diesen Patch braucht.
Unter anderem wegen solchen Problemen bin ich mittlerweile davon abgekommen, mehrere Kunden auf einem Server zu hosten, also praktisch shared hosting zu betreiben. Was der einzelne Kunde dann auf seinem Server treibt, mit welchen Usern und welchen Zugriffsrechten, das ist dann sein Bier und seine Verantwortung. Ich weise auf die Problematik hin, der Kunde entscheidet was er macht. Ebenso mit open_basedir. Einerseits bringt es eine gewisse Erhöhung der Sicherheit bei PHP-basierten Programmen, auf die man sich aber nicht verlassen sollte. Für andere Software bringt es natürlich sowieso Null. Andererseits bringt es eine erhebliche Performanceminderung, weil dadurch der Realpath Cache deaktiviert wird und auch bei jedem Dateizugriff die Berechtigung aufwändig zusätzlich geprüft werden muss. Auf Servern, die nur ich nutze, richte ich dann eben nötigenfalls zwei Nutzer ein. Den einen ohne open_basedir und einen zusätzlichen Nutzer mit aktiviertem open_basedir, falls ich doch mal ein Wordpress oder ähnliches installieren will, wo mir das Vertrauen in die Sicherheit fehlt, vor allem bei Plugins. Wordpress-Installationen müssen dann eben mit open_basedir und seinen Konsequenzen bezüglich Performance leben.
SymLinksIfOwnerMatch sollte die Thematik zumindest etwas erschweren, die Frage wäre auch wie das seitens Keyweb geregelt ist