Instalado como módulo de Apache
Cuando PHP es usado como un módulo de Apache, hereda los
permisos del usuario de Apache (generalmente los del usuario
"nobody"). Este hecho representa varios impactos sobre la
seguridad y las autorizaciones. Por ejemplo, si se está usando
PHP para acceder a una base de datos, a menos que tal base de
datos disponga de un control de acceso propio, se tendrá
que hacer que la base de datos sea asequible por el usuario
"nobody". Esto quiere decir que un script malicioso podría
tener acceso y modificar la base de datos, incluso sin un nombre
de usuario y contraseña. Es completamente posible que una
araña web (bot) pudiera toparse con la página web de administración de
una base de datos, y eliminar todo de la base de datos. Una
protección ante este tipo de situaciones es mediante el uso del
mecanismo de autorización de Apache, o con modelos de acceso
de diseño propio usando LDAP, archivos .htaccess, etc. e
incluir ese código como parte de los scripts PHP.
Con frecuencia, una vez la seguridad se ha establecido en un punto
en donde el usuario de PHP (en este caso, el usuario de apache)
tiene asociada muy poco riesgo, se descubre que
PHP se encuentra ahora imposibilitado de escribir archivos en los
directorios de los usuarios. O quizás se le haya
desprovisto de la capacidad de acceder o modificar bases de
datos. Se ha prevenido que pudiera escribir tanto
archivos buenos como malos, o que pudiera realizar transacciones
buenas o malas en la base de datos.
Un error de seguridad cometido con frecuencia en este punto es
darle permisos de administrador (root) a apache, o incrementar las
habilidades del usuario de apache de alguna otra forma.
Incrementar los permisos del usuario de Apache hasta el nivel de
administrador es extremadamente peligroso y puede comprometer al
sistema entero, así que el uso de entornos sudo, chroot, o
cualquier otro mecanismo que sea ejecutado como root no
debería ser considerado como una opción por aquellos que no
son profesionales en seguridad.
Existen otras soluciones más simples. Mediante el uso
de open_basedir se
puede controlar y restringir qué directorios
pueden ser usados por PHP. También se pueden definir
áreas solo-Apache, para restringir todas las actividades
basadas en web a archivos que no son de usuarios o del sistema.
bk 2 at me dot com ¶12 years ago
doc_root already limits apache/php script folder locations.
open_basedir is better used to restrict script access to folders
which do NOT contain scripts. Can be a sub-folder of doc_root as in php doc example doc_root/tmp, but better yet in a separate folder tree, like ~user/open_basedir_root/. Harmful scripts could modify other scripts if doc_root (or include_path) and open_basedir overlap.
If apache/php can't browse scripts in open_basedir, even if malicious scripts uploaded more bad scripts there, they won't be browse-able (executable).
One should also note that the many shell execute functions are effectively a way to bypass open_basedir limits, and such functions should be disabled if security demands strict folder access control. Harmful scripts can do the unix/windows version of "delete */*/*/*" if allowed to execute native os shell commands via those functions. OS Shell commands could similarly bypass redirect restrictions and upload file restrictions by just brute force copying files into the doc_root tree. It would be nice if they could be disabled as a group or class of functions, but it is still possible to disable them one by one if needed for security.
PS. currently there is a bug whereby the documented setting of open_basedir to docroot/tmp will not work if any include or require statements are done. Right now include will fail if the included php file is not in BOTH the open_basedir tree and the doc_root+include_path trees. Which is the opposite of safe.
This means by any included php file must be in open_basedir, so is vulnerable to harmful scripts and php viruses like Injektor.
daniel dot eckl at gmx dot de ¶22 years ago
There is a better solution than starting every virtual host in a seperate instance, which is wasting ressources.
You can set open_basedir dynamically for every virtual host you have, so every PHP script on a virtual host is jailed to its document root.
Example:
<VirtualHost www.example.com>
ServerName www.example.com
DocumentRoot /www-home/example.com
[...]
<Location />
php_admin_value open_basedir \ "/www-home/example.com/:/usr/lib/php/"
</Location>
</VirtualHost>
If you set safe_mode on, then the script can only use binaries in given directories (make a special dir only with the binaries your customers may use).
Now no user of a virtual host can read/write/modify the data of another user on your machine.
Windseeker
joe ¶2 years ago
It is not useful for ordinary users to have a debate about the lack of security in using PHP without clearly listing step by step methods of resolving the issue. Such methods should be authoritatively provided by PHP and not as a user's opinion, later debated by another user.
It is not that I am opposed to debate. This is how we learn as an open-source community. However, us mere mortals need the gods of PHP to come to conclusions and give us best practices.
Vikanich ¶16 years ago
Big thanks to "daniel dot eckl at gmx dot de" but i have to change his config, because it doesn't work (may be wrong syntax).
I have add only this string to VirtualHost config and it works.
php_admin_value open_basedir /www/site1/
Now all php scripts are locked in the directory.
Kibab ¶19 years ago
I'm running Windows version of Apache with php as module. System is Windows XP Service Pack 2 on NTFS filesystem. To avoid potential security problems, I've set Apache to run under NT AUTHORITY\Network Service account, and there is only one directory, named Content, with Full Access for this account. Other directories are either not accessible at all or with readonly permissions (like %systemroot%)... So, even if Apache will be broken, nothing would happen to entire system, because that account doesn't have admin privilegies :)