ich hoffe ihr könnt mir helfen.
Ich habe einen Server, auf diesem laufen einige Programme. Unter anderem auch der Indianer (Apache2.4).
Über diesen habe ich einige vHosts konfiguriert und einigen Freunden und Bekannten gebe ich darauf auch Zugriff, damit sie ihre eigene Webseite über mein Server hosten können. Das funktioniert auch alles super.
Jedoch ist mir heute etwas gravierenden aufgefallen. Ein User kann einen SymLink zu einer beliebigen Datei erstellen zum Beispiel (/etc/apache2/... oder... einfach überall außer /) und der Indianer tut seinen Dienst und liefert natürlich auch diese Datei.
Die einfachste Möglichkeit wäre, FollowSymLinks zu deaktivieren, jedoch benötigen es einige CMS-Systeme meiner Freunde. Ich habe auch nicht unbedingt Angst, dass meine Freunde damit "Schindluder" auf meinem Server treiben aber es geht allgem. um die Sicherheit des Servers (Was ist, wenn ein Dritter auf einmal Zugang erlangt).
Auch die Möglichkeit von SymLinksIfOwnerMatch kann hier nicht Anwendung finden, da dies über .htaccess leicht wieder geändert werden kann.
Meine vHost Dateien sehen bei jedem ähnlich aus:
Code: Alles auswählen
[...]
<Directory />
Order deny,allow
deny from all
</Directory>
<Directory /var/www/felix>
Order allow,deny
allow from all
Options -Indexes +FollowSymLinks
AllowOverride All
</Directory>
MFG Micha