FAQ

Diese FAQ betrifft nur Managed-Root Cloudserver und Managed-Root Agenturserver

Auf den Managed-Root Systemen in unserer Cloud liegen die DocumentRoot Ordner der jeweiligen Domains unterhalb des Pfades:

/usr/local/www/apache24/noexec/

Beispielsweise hier:

/usr/local/www/apache24/noexec/domainname.de

Wenn man sich die Pfadstruktur per SSH oder FTP anschaut, findet man alle Ordner in diesem Ordner auch unter

/usr/local/www/apache24/data/

Nach unserem Beispiel also auch:

/usr/local/www/apache24/data/domainname.de

Für gewöhnlich sollten alle DocumentRoots der Domains mit dem Pfad unterhalb 'noexec' eingetragen werden. Dieser Pfad ist von uns 'künstlich' angelegt und - darauf weißt der Name hin - und wurde also sog. Nullmount mit 'noexec' Flag angelegt.

Auch wenn Tools wie 'du' etc. die Inhalte der beiden Ordner mit einer entsprechend doppelten Speichernutzung anzeigen, verbraucht der zusätzliche 'noexec' Ordner nur wenige bytes - egal, wieviele Daten im 'data' Ordner liegen und damit auch im parallelen Nullmount angezeigt werden.

Das 'noexec' Flag kennt man häufig als Option für /tmp Ordner, um auch hier das direkte Ausführen von Code zu unterbinden.

Auch wenn es verschiedene Techniken gibt, solche Flags zu umgehen, arbeiten ein sehr großer Anteil sog. Script-Kiddie Angriffe u.a. damit, dass sie im eigenen Ordner executables ausführen. Diese werden z.B. als vermeintliche Bilder etc. hochgeladen. Die Ansätze sind hier natürlich vielfältig.

Durch den Ansatz des parallelen 'noexec' Nullmounts werden alle diese Angriffe pauschal verhindert. Dies ist selbstverständlich kein Weg, um alle Angriffe abzuwehren, aber die die darauf aufbauen werden vollständig unterbunden. Eine schlichte und im Vergleich zum Aufwand sehr effektive Methode ohne wesentliche Nebeneffekte. Von folgenden Umständen abgesehen.

Ausnahmen

Obwohl nahezu alle CMS, Shopsysteme etc. heute über Interpreter wie PHP, python, etc. arbeiten und selbst keine im DocumentRoot liegende Anwendungen ausführen, gibt es hier und da Ausnahmen.

Falls Sie also eine seltene Anwendung nutzen, die auf diese Weise arbeitet, können Sie für solche Domains das DocumentRoot auf z.B.

/usr/local/www/apache24/data/domainname.de

in der Datei /etc/apache24/httpd.conf umstellen.

Zusätzlich muss in der gleichen Datei folgender Eintrag hinzugefügt werden, damit Zugriff generell auch im 'data' Ordner (und Unterordnern) erlaubt ist:

<Directory "/usr/local/www/apache24/data">
Options -Indexes +FollowSymLinks
AllowOverride All
Require all granted
</Directory>

Danach nicht vergessen, den Webserver neu zu starten ('restart_apache' über SSH Konsole).