Homepage security

[Orchidee]

Hi,

ich bin am durchlesen von vielen vielen Security-Checklisten
und bin auf ein paar Dinge gestoßen, die mich etwas (nur etwas) beunruhigen:

1. allow_url_fopen = on bei meinem Hoster
2. safe_mode = on bei meinem Hoster
3. log und temp Verzeichnisse sind in public html
4. configuration file ist beschreibbar

zu 1. und 2. kann ich durch eine locale php.ini nicht ändern, weil mein Hoster das gar nicht zulässt. Was kann denn schlimmes passieren?

zu 3. wohin soll ich die Verzeichnisse sonst definieren wenn nicht in dem Admin Konfigurationsmenü?

zu 4. Einmal war ich froh über FTP die configuration.php ändern zu können, sonst wäre ich aufgeschmissen gewesen. Was ist denn damit gemeint "ist beschreibbar". Ich wollte es mal ändern, ging aber nicht, Num-Wert ist auf 640.

Danke für ein paar Antworten, die mich weiter helfen.

 

[godmod]

zu 1.:
ja, ist nicht empfohlen. schreib doch dem support deines hosters wieso das an ist.

zu 3.:
aber vermutlich weder les- noch schreibbar (für andere als einige prozesse am server)

zu 4.:
die meldung gibt wohl ein install script aus? na dann setze die rechte für diese config datei (zb datei.php) halt auf read only:
chmod 600 datei.php

 

[Accuface]

Safemode hat sowieso kein Wert mehr,

ab PHP 6.0 wird der safe_mode abgeschafft

 

[Orchidee]

Ach, habe Joomla und bin zum Hoster all-incl.com gewechselt, da er sehr viele Angebote inclusive hat. Vielleicht war das auch falsch, aber ich lebe halt jetzt damit. Nur möchte ich das Maximum an Funktionen (auch security) heraus holen. Ich verlasse mich da nicht immer auf die Aussage meines Hosters.
Ich war die letzten Tage nur mit meinen kleinen Problemchen beschäftigt. Danke, aber das alles bringt mich nicht weiter, da die Fragen zu allgemein sind. Ich muss mich einfach tiefer mit der Materie beschäftigen.
Die Meldungen hat ein Programm (GuardXT) ausgegeben.
zu 1. Mein Hoster all-incl.com schrieb, dass allow_url_fopen nur auf einem managed Server ausgeschaltet werden kann, nicht auf einem shared server.
zu 2., 4. Ist bei dem neuen Hoster (all-incl.com) jetzt durch Rechte einstellbar, bzw. safe_mode ist jetzt off.
zu 3. Warum zeigt denn GuardXT diese Meldung. Was soll ich denn mit den Verzeichnissen log und temp sonst machen?

Aber ich habe trotzdem noch ein paar Fragen. Was hat denn open_basedir für ein tieferen Sinn. Ich kann Module usw. nur installieren, wenn es in der .htaccess aus (auskommentiert) ist. Dann aktiviere ich es wieder. Mein Hoster meinte, ich müsse da gar nichts machen, da es global gesetzt ist.
Aber auch sonst bekomme ich weniger 500 Server Error, wenn open_basedir nicht gesetzt ist. Was ist jetzt richtig, setzen oder nicht? Klar, nicht setzen, oder?

Außerdem sind alle PHP-Funktionen aktiv und ich kann keine deaktivieren. Wie schon erwähnt sei das nur auf einem managed server machbar, so mein Hoster. PHP-Anbindung zum Webserver: cgi-fcgi.

Mit der lokalen php.ini kann ich auch nichts ausrichten, in der .htaccess auch nichts.

Einfach so lassen? Bleibt ja nichts anderes übrig.

@Accuface, deine Projekte sind ja riesig. frustlounge.de gefällt mir auch.