Sicherheit Webstation

[the0bone]

Moin,
ich würde gerne die WebStation als meine Spielwiese nutzen.
Also um PHP Skripte zu Testen, WordPress PlugIns zu schreiben etc.

Da kann es in der Entwicklungsphase mal vorkommen, dass ich noch nicht alle Sicherheitsfeature in so ein Skript gepackt habe. Und dadurch evtl. eine PHP Lücke entsteht, dass jemand ungewolltes ausführbaren Code auf die WebStation bekommt.

An sich ja sehr schlimm. Aber viel Schlimmer ist es, dass ich festgestellt habe, dass der Code auch aus dem WebStation Folder raus kann.

Normalerweise läuft die WebStation in /var/services/web
Ok, da liegen dann alle meine Skripte und das schlimmste wäre, dass dort einer was kaputt macht oder die Dienste als Spammer nutzt.

Viel schlimmer find ich, dass das Skript auch z.B. an /var/services/blog kommt.
d.h. das PHP Module hat Rechte ausserhalb seines Verzeichnisses.
Komisch ist, dass ich keinen blog auf der DS aktiviert habe.

Auf der anderen Seite, kommt es nicht an andere unter /var/services/ liegende Verzeichnisse dran.

Und jetzt komme ich durcheinander und zu meiner Frage:
Wie sicher ist die WebStation für sowas?
Warum klappt das eine Verzeichnis, aber die anderen nicht?
Kann ich irgendwie ein Quota anlegen, dass PHP nicht in höhere Verzeichnisse kommt, als das wo die Datei liegt, aus der es aufgerufen wird?

Danke

 

[stefan_lx]

ich kann dir zwar nicht sagen, wie sicher das ist, aber die Verzeichnisse findest du in Systemsteuerung -> Webdienst -> Reiter PHP-Einstellungen -> PHP open-basedir.
Alles was da drin steht, ist per PHP erreichbar, es ist also möglich, dort auch eigene Ordner einzutragen (als absoluter Pfad) oder andere rauszuwerfen. Falls die Änderungen unerwünschte Nebeneffekte haben, kann man den Haken wieder rausnehmen und der Standard ist wieder da...
Das blog-Verzeichnis wird vermutlich über die Photostation automatisch mitaktiviert.

Stefan

 

[the0bone]

Super, genau das hab ich gesucht
War bis dato nicht aktiviert. Also Default und laut phpinfo ist dann folgendes offen:

/etc.defaults:/usr/bin/php:/usr/syno/synoman:/etc:/var/run:/tmp:/var/spool/php:/volume1/@tmp/php:/var/services/web:/var/services/photo:/var/services/blog:/var/services/homes/

Dann werd ich mich mal dranmachen und es runterstippen auf Minimum.

Danke

 

[nachon]

Mich würde aber generell die frage mal interessieren, weil ja auch andere Programme sich in der webstation installieren. Owncloud oder baikal. Wie sicher ist denn die webstation?

 

[Merthos]

So sicher wie jede andere LAMP-Installation... Ein Problem ist die Updatepolitik von Synology und ansonsten Lücken in den zusätzlich installierten Sachen.

 

[the0bone]

Jup, das würde ich auch so sehen und die Pakete, die es auch anders gibt (wie halt WP oder die Shops) nicht über Syno installieren.
Ist aber nicht nur ein Problem der DS. Auch viele Deutsche Webhoster bieten preinstallationen von Apps an und auch die hängen um Versionen.

Und grad WP als meist eingesetzte Blogsoftware, sollte immer so sicher wie Möglich sein. Exploits machen schnell die Runde und können von jedem Scriptkiddy genutzt werden.