php.ini vom Nutzer überschreibbar

  • Hallo.


    Ich habe mir gestern mal eine Liveconfig Testlizenz geholt. Das System ist echt gut :)
    Nur habe ich einen Fehler gefunden (wenn es denn einer ist). Wenn ich mir einen Kunden erstelle, kann ich mich auf dem FTP einloggen und die Rechte von dem Ordner "/conf/php5" auf 0755 setzen. Damit ist es mir möglich, die darin vorhandene php.ini zu löschen und eine eigene anzulegen, in der ich dann alles machen kann. Als PHP-Interpreter nutze ich suPHP.


    Müsste nicht der Ordner "/conf/php5" dem Ordner root (oder liveconfig) gehören, damit genau so etwas nicht passieren kann?


    Grüße und schönes Wochenende!

  • Nicht den Ordner /conf, sondern /conf/php5. Der hat (bei mir zumindest) Nutzerrechte


    Zitat

    root@server2:~# ls -l /var/www/web16/conf
    total 4
    drwxr-xr-x 2 web16 web16 4096 Jul 6 00:21 php5

  • Danke für den Hinweis - das ist tatsächlich so nicht beabsichtigt. Auf die Schnelle kann ich noch nicht sagen was genau da schief gelaufen ist, wir werden das jedenfalls noch mal genauer prüfen.
    Das Verzeichnis /conf/php5 muss dem Kunden gehören, da sonst der PHP-FastCGI-Starter nicht von suExec ausgeführt wird. Der Fehler ist an dieser Stelle, dass für die php.ini nicht auch das Immutable-Flag gesetzt wird, wie es beim php-fcgi-starter passiert. Wir werden das umgehend in die web.lua mit aufnehmen. Das Update ist spätestens am Montag verfügbar.


    Mit folgendem Befehl kann man sich alle php.ini-Dateien anzeigen lassen, die nicht dem Benutzer root gehören:

    Code
    ls -l /var/www/*/conf/php5/php.ini | grep -v root


    Viele Grüße


    -Klaus Keppler

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!