Eigene php_ini einstellungen

Beitrag von **SchwarzeGenetik** » Mo 16.Jul, 2007 18:32

also ich möchte register_globals = Off und safe_mode = ON einstellen. dazu muß ich eine eigene php.ini ins forenroot stellen. hab jetzt die einstellungen so hinbekommen das die php-info das selbe anzeigt als wie als wäre es die orginal. nur eben gemischt mit meinen einstellungen.

aber da ich davon nicht so viel verstehe, was die bedürfnisse vom board betrifft, wollt ich fragen ob sich das mal jemand aschauen könnte, ob das ok so ist

die sache ist nur die, soll ich die php.ini hochladen (da spricht sowieso gleich der tracker an)
oder nicht? damit nicht jeder die daten einsehen kann...

Beitrag von **AmigaLink** » Mo 16.Jul, 2007 19:34

Also deine php.ini würde ich hier auf keinen Fall veröffentlichen!!!

Wenn dir PHP-Info anzeigt was du haben möchtest, dann hast du nichts falsch gemacht.

Was willst du mehr?

Beitrag von **SchwarzeGenetik** » Mo 16.Jul, 2007 19:44

ja aber z.b. die ganzen path-angaben, ändern die sich wenn die ini wo anders liegt?
z.b von browscap, include_path? da hab ich das eingegeben was mir die orginale anzeigt.

und ich wollte eben da fragen, ob das phpbb vielleicht paar optimale einstellung benötigt...

Beitrag von **AmigaLink** » Mo 16.Jul, 2007 19:50

Path-Angaben?

Hast du einen Dedizierten Server mit Root-Zugang?
Mal abgesehen davon das sich die Verzeichnispfade, des Systems, nicht ändern. Warum hast du die aufgenommen? Hat dein Hoster dir gesagt du müsstest den kompletten Inhalt der Original php.ini kopieren?

(Das phpBB benötigt keine extra Einstellungen.)

Beitrag von **SchwarzeGenetik** » Mo 16.Jul, 2007 20:00

ich bin bei domaingo, und dort ist es die einzige möglichkeit die ini-einstellung zuändern, indem man ne eigene in das verzeichnis setzt wo sie aktiv sein soll. und ich dachte, ich muß wenn ich ne eigene mache, alle einstellung reinschreiben die auch die orginale hat. da ja das system nich paar einstellungen von der orginalen und paar von meiner nimmt.
seh ich das falsch?

phpbb brauch keine speziellen einstellung... aber z.b. register_globals = Off und safe_mode = ON is bei mir orginal ON, OFF.
sowas mein ich was eben für die sicherheit is...

Beitrag von **AmigaLink** » Mo 16.Jul, 2007 20:14

Die php.ini die du erstellen sollst bzw. kannst, ist normalerweise (ich kenne die Arbeitsweise von domaingo nicht) eine Erweiterung zu der bereits bestehenden (Originalen) php.ini. Die darin enthaltenen Einstellungen überschreiben die Einstellungen der Original php.ini. Und das auch nur wenn der Hoster das zulässt.
Alle andere wäre grob fahrlässig von deinem Hoster!

Du brauchst also nur register_globals = Off und safe_mode = ON in deine eigene php.ini eintragen.

Beitrag von **SchwarzeGenetik** » Mo 16.Jul, 2007 20:21

hm, das werd ich mal testen...
obwohl, wenn ich dann die ini-info anschaue, dann zeigt es mir bei gültigen path zur ini, die neue an... man, is das wirrwa!

Beitrag von **AmigaLink** » Mo 16.Jul, 2007 20:34

Wie gesagt ich kenne die Arbeitsweise deines Hosters nicht. Ich kann dir nur sagen wie das normalerweise gehandhabt wird, da ich genauso Arbeite.

Fest steht die php.ini ist kein Ding für Unwissende. Von daher wäre es recht Leichtsinnig wenn dein Hoster dir (bei einem Shared-Host Angebot) uneingeschränkten Zugriff darauf gibt und sogar voraussetzt das du, bei Änderungen, die komplette php.ini neu schreibst!

Mal abgesehen davon. Woher hast du die Original php.ini

?

Beitrag von **SchwarzeGenetik** » Mo 16.Jul, 2007 20:41

hab die alle werte die mir die php-info gezeigt hat, in meine übernommen

aber ich werd nochmal mit meinem hoster sprechen, bevor ich hier was dummes mache

Beitrag von **AmigaLink** » Mo 16.Jul, 2007 21:03

hab die alle werte die mir die php-info gezeigt hat, in meine übernommen

Das hatte ich bereits befürchtet.

aber ich werd nochmal mit meinem hoster sprechen, bevor ich hier was dummes mache

Mach das.

Beitrag von **SchwarzeGenetik** » Di 17.Jul, 2007 09:11

also, ich hab heut mit domaingo gesprochen, und die sagten das wenn ich einstellungen an der php.ini ändern möchte, für jeden ordner in der sie gelten sollen, ein komplette php.ini angelegt werden muß. dafür hat er mir eine anleitung gegeben wie ich die roginal auslesen kann. er sagte, hackern nützt diese angaben nicht viel. der hat, wenn ers schafft sie auszulesen, nur die infos der einstellungen. es geben aber auch scripts um anderweilig dise einstellung rauszubekommen. wie gesagt, die gilt dann auch nur für den order wo sie liegt...
schaden kann der hacker dann auch nur in meinem acount machen, weiter kommt der dann nich. und das auch nur wenn er in meinen fpt-zugang reinkommt. aber dann ist es eh zuspät...

Beitrag von **oxpus** » Di 17.Jul, 2007 11:03

hab heut mit domaingo gesprochen, und die sagten das wenn ich einstellungen an der php.ini ändern möchte, für jeden ordner in der sie gelten sollen, ein komplette php.ini angelegt werden muß.

Wie sind die denn drauf?

er sagte, hackern nützt diese angaben nicht viel.

Und da irrt er sich gewaltig!
Eine "offene" php.ini ist wie eine Einladung mit einem weit offenen stehenden Scheunentor. Dort sind Angaben enthalten, nach denen sich ein Hacker alle 1.001 Finger leckt.
Und dabei geht es hier nicht um Passwörter oder Zugriffe, sondern andere Informationen, mit denen man (und einigem Wissen) deutlich leichter einen Server aufbrechen kann, als durch's blanke "Probieren".

Die Gefahr einer frei zugänglichen php.ini wird auch hier leider wieder einmal mehr sehr weit unterschätzt...

Twins · Beitrag von **Twins** » Di 17.Jul, 2007 12:38

http://www.google.de/search?hl=de&ie=UT ... uche&meta=

Ist genau das gleiche wie eine offene php.ini...

Ich habe meine php.ini nicht öffentlich und auch die phpinfo.php extra versteckt, sodass diese nicht von außen aufgerufen werden kann.
Außerdem ist es mir auch neu, das man in jedem Ordner eine php.ini ablegen muss, man braucht doch nur eine aktiv, oder?

Beitrag von **oxpus** » Di 17.Jul, 2007 12:44

@Twins
Verwechsel nicht die phpinfo mit der php.ini!
Im Grunde zeigt die phpinfo zwar Einstellungen an, die u. a. in der php.ini enthalten sind, aber bei weitem nicht alles

Twins · Beitrag von **Twins** » Di 17.Jul, 2007 13:05

Bei phpinfo findet man doch normalerweise auch Infos über MySQL usw.? Ist zumindestens bei mir so.

Aber du hast recht, phpinfo ist nicht so komplex wie die php.ini, liefert aber trotzdem viele Infos, die ein en Angriff deutlich erleichtern.
Danke für die Ausklährung!

Beitrag von **SchwarzeGenetik** » Di 17.Jul, 2007 17:49

man, hier nehmt ihr mir aber den mut

wa soll ich denn nun machen...? bei dem hoster bleib ich auf jedenfall. der is nämlich echt schnell mit den ladezeiten und so. ich könnt auch nen paket höher gehn, dann hab ich zugriff auf die php.ini...
aber wie soll denn nen hacker meine php.ini auslesen können, wenn ich sie mit .htaccess schütze?

Beitrag von **oxpus** » Di 17.Jul, 2007 21:41

.htaccess ist auch nicht das Allheilmittel, denn die dichtet nur so stark ab, wie der Webserver keine weiteren Lücken aufweist.
Und das tut er sicherlich, sonst würden nicht ständig neue Versionen erscheinen.
Daher ist grundsätzlich von solchen Aktionen möglichst abzusehen, egal, wie man diese Teile absichert.
Aber es ist letzlich Deine Entscheidung, ob Du das "Restrisiko" eingehen willst oder nicht. Wir können nur die Vor- und Nachteile aufführen...

Beitrag von **SchwarzeGenetik** » Di 17.Jul, 2007 21:50

hast ja recht oxpus, und ich werd dann auch lieber auf euch hören

aber was ist nun unsicherer, das restrisiko oder die einstellungen register_globals = ON und safe_mode = OFF...

Beitrag von **oxpus** » Di 17.Jul, 2007 22:03

Es ist so oder so nicht einfach, in den Server einzubrechen, aber das Risiko ist nur so groß, wie der Hacker gut ist.
Das kann morgen schon passieren oder nie.
Davor ist keiner wirklich sicher...

Beitrag von **AmigaLink** » Di 17.Jul, 2007 22:59

Sagen wir es mal so: Es ist weitaus schwieriger an die geschützte php.ini ranzukommen und die dadurch erhaltenen Informationen auszunutzen, als register_globals = ON und safe_mode = OFF auszunutzen.

Beitrag von **SchwarzeGenetik** » Di 17.Jul, 2007 23:35

na gut, ich bin eurem wissen erlegen und werd dann alles so lassen.
ich muß nur immer alles ganz genau wissen eh ich zufrieden bin mit dem was ich mach