Stephan schrieb:

Auf meinem Webserver herrscht folgende Verzeichnisordnung:

/server/kunde01 /server/kunde02 /server/kunde03 ....

Auf dem Webserver liegen in den einzelnen kundeXX Verzeichnissen Webordner die mittles Virtual Hosts Domains zugeordnet werden. Der Apache läuft unter wwwrun (bis auf den Mother Process aber das is klar :)) und die Files die in den Ordnern liegen gehören auch dem "wwwrun". Der Ordner "/server/" gehört root und hat den chmod 641 (respektive:drw-r----x 13 root root 320 Sep 3 15:25 server).

Soweit zu den Umständen, jetzt kann ein schlauer und böser User einfach ein PHP Script schreiben mit dem er sich das Directory /server/ listen kann. Somit hat er die Möglichkeit herauszufinden was für Directorys da noch auf dem Server sind UND (was entscheidend ist) die Scripte da drin anzuschauen. Somit bekommt er (wenn er will) SQL Passwörter, Mail Passwörter...etc... raus. Das ist eigentlich nicht ganz in meinem Interesse :)

Hat da jemand eine Idee wie ich das sichern kann? Eventuell würde ein stoppen des Listings für das Directory /server/ schon reichen, viel lieber wäre mir aber ein bessere Lösung, dass der Kunde in seinem Ordner bleibt und nicht raus darf.

Hallo auch: Bin kein Security-Experte, aber du kannst doch user in einen chroot-käfig sperren. Hab das auch mal für nen User implementieren müssen, der sich per ssh auf meine Kiste aufwählen mußte. Durch die chroot-Umgebung konnte er nicht aus seinem home raus oder sehen, was darüber liegt. Vielleicht lässt sich das auch für dein Problem umsetzen. Falls du Fragen zur Installation einer Login-Umgebung via chroot hast, kannst mich gerne anmailen oder man chroot... MFG, Bernd