Page 1 of 1
Sicherheitsfeature: Option openbase_dir auf DOMAINZIEL Verzeichnis einschränken
Posted: Tue 14. May 2024, 10:13
by jmkey
Hallo,
ich würde diesen Feature - Wunsch gerne nochmals zur Diskussion anregen.
Featurewunsch (für mehr Sicherheit):
Möglichkeit openbase_dir pro Domain/Subdomain zusätzlich einzuschränken.
z.B. durch folgende Funktion:
[ ] Checkbox (openbase_dir auf Domainziel-DocumentRoot einschränken)
Beispiel:
Code: Select all
Wenn Checkbox inaktiv : openbase_dir = ##DOCROOT##/www/:##DOCROOT##/files:##DOCROOT##/tmp:/dev/urandom
Wenn Checkbox Aktiv : openbase_dir = ##DOCROOT##/www/##DOMAINZIEL##:##DOCROOT##/tmp:/dev/urandom
Re: Sicherheitsfeature: Option openbase_dir auf DOMAINZIEL Verzeichnis einschränken
Posted: Tue 14. May 2024, 10:29
by Alexander
PHP-Einstellungen werden aktuell pro Benutzer verwaltet, nicht per Domain und Subdomain. Sie gelten also für alle Domains und Subdomains unter einem Benutzer.
Eine Änderung dessen würde für alle Shared-Systeme den Ressourcenverbrauch je nach Szenario extrem nach oben treiben.
Beispiel:
Ein Benutzer hat 10 Domains + 20 Subdomains.
Seine PHP-Ressourcen werden über den Benutzer verwaltet. Hier ist z.B. festgelegt: "pm.max_children = 3". Es dürfen also gleichzeitig 3 PHP-Prozesse laufen.
Wenn das System nun umgestellt werden sollte auf "PHP-Ressourcen werden pro Domain verwaltet", dann verbraucht dieser eine Benutzer nach einem solchen Update plötzlich soviel wie 30 Benutzer (und führt zu ggf. gleichzeitigen 90 PHP Prozessen, nur durch diesen einen Nutzer).
---
In so einem Fall würde ich eher vorschlagen einen weiteren Benutzer anzulegen, um Webprojekte sauberer von einander zu trennen.
---
Ab nächsten Update ist es übrigens möglich, die Einstellung open_basedir überschreibbar zu setzen. Dann kann es z.B. von der Anwendung selbst oder durch .user.ini gesetzt werden. Vll hilft das ja auch noch dem ein oder anderen.
Re: Sicherheitsfeature: Option openbase_dir auf DOMAINZIEL Verzeichnis einschränken
Posted: Wed 15. May 2024, 14:59
by jmkey
Hallo,
vielen Dank für die Rückmeldung und Erklärung.
Eine Idee hätte ich da noch, damit die derzeitige Struktur beibehalten werden kann.
Und zwar über die SECTIONS in der php.ini des USER:
INFO:
https://www.php.net/manual/en/ini.sections.php
[PATH=/www/##DOMAINZIEL##] oder [HOST=##DOMAINNAME]
openbase_dir = ##DOCROOT##/www/##DOMAINZIEL##:##DOCROOT##/tmp:/dev/urandom
Re: Sicherheitsfeature: Option openbase_dir auf DOMAINZIEL Verzeichnis einschränken
Posted: Wed 15. May 2024, 15:33
by Alexander
Ah prima - Danke!
Hab mal ein paar Tests gemacht und das würde funktionieren.
Das könnte ich bei Gelegenheit also einbauen, sofern hier größerer Bedarf besteht.
Für mein künftiges ich bzw. wer es bereits einbauen möchte:
Erstellen von: /etc/php/<PHP-VERSION>/fpm/conf.d/99-keyhelp.ini
Code: Select all
[PATH=/home/users/alex/www/domain1/]
open_basedir = "/home/users/alex/www/domain1:/home/users/alex/tmp"
Achtung, sollte es ins KeyHelp implementiert werden, wird die tatsächliche Implementation (Dateinamen etc.) abweichend sein.
Das hier ist nur ein Test.
Re: Sicherheitsfeature: Option openbase_dir auf DOMAINZIEL Verzeichnis einschränken
Posted: Thu 16. May 2024, 18:08
by Blackmoon
Das könnte ich bei Gelegenheit also einbauen, sofern hier größerer Bedarf besteht.
Bedarf.
Re: Sicherheitsfeature: Option openbase_dir auf DOMAINZIEL Verzeichnis einschränken
Posted: Thu 16. May 2024, 19:14
by ShortSnow
+1
Re: Sicherheitsfeature: Option openbase_dir auf DOMAINZIEL Verzeichnis einschränken
Posted: Fri 17. May 2024, 10:25
by jmkey
+1
++ Mega ++