Gehostete Shared Server sind meist der Anfang einer eigenen Website-Karriere – sie sind günstig, leicht zu bekommen und eine eigene Website ist schnell aufgesetzt. Aber wie sieht es mit der Sicherheit aus?

Caged Environments

Ein Problem ist, dass es – theoretisch – mithilfe einiger PHP-Skripte möglich wäre, Apache dazu zu bewegen, alle auf dem Server liegende Daten auszuspähen. Die Herausforderung liegt also darin, genau dies zu unterbinden. Dabei kann man nun auf die in PHP und Apache eingebauten Security-Features verlassen, oder nach einer eigenen Lösung suchen.

Stuart Herbert, Senior Engineer und PHP-Programmierer, hat das Problem recht anschaulich in einem Artikel auf seinem Blog beschrieben. Und auch gleich einen Beitrag nachgereicht, wie eine mögliche Lösung aussehen könnte.

Shared Server mit mpm-itk absichern

Auf PHP-Seite kann man sich mit safe_mode oder auch dessen open_basedir-Präfix behelfen – muss allerdings auch die möglichen Nachteile in Kauf nehmen (z.B. lassen sich neue Dateien nur noch in der Datenbank anlegen und nicht mehr direkt auf dem Server). In PHP6 wird der safe_mode im Übrigen schon nicht mehr vorhanden sein.

mpm-itk, ein Multi-Processing-Modul für Apache 2, kann nun ein Ansatz für die Absicherung des Servers sein. Damit können die PHP-Skripte der einzelnen User auf dem Shared Server als separater Nutzer ausgeführt werden. Noch wichtiger: Sobald ein Request ausgeführt wurde, wird der Prozess vollständig beendet. Die Schwierigkeit liegt allerdings darin, dass mpm-itk mit in die Apache-Installation kompiliert werden muss.

Stuart hat in seinem Artikel die nötigen Schritte (Kompilieren, Apache konfigurieren) anhand passender Code-Beispiele erklärt und stellt dabei auch die Bedeutung dieser Lösung, einen Shared Server abzusichern, heraus. Unterm Strich empfiehlt er den Einsatz von mpm-itk als "Fire and Forget"-Lösung für Provider, die sich nicht unnötig tief mit den Einzelheiten der bei ihnen eingesetzten Webseiten auseinandersetzen wollen.