Fragen und Antworten

Wie kann ich Upload-Verzeichnisse für virtuelle FTP-Benutzer absichern?

Manchmal ist es erforderlich, dass Änderungen an einer Webseite von Dritten vorgenommen werden, die jedoch aus Sicherheitsgründen keinen vollständigen Zugriff auf den Webserver-Benutzeraccount erhalten sollen, sondern nur bestimmte Dateien wie z.B. Bilder in speziellen Unterverzeichnissen hochladen dürfen.

Wenn hierfür virtuelle FTP-Benutzer genutzt werden, ergeben sich jedoch Sicherheitsprobleme, da diese über hochgeladene CGI-Scripte (z.B. PHP-Dateien) vollständigen Zugriff auf den Webserver-Benutzeraccount erlangen können. Um bestimmte Upload-Verzeichnisse für virtuelle FTP-Benutzer zu schützen, muss in diesen Verzeichnissen das Ausführen von CGI-Scripten und das Ändern von Webserver-Konfigurationsdateien per (S)FTP untersagt werden.

Konfigurationsdateien erstellen

Das Ausführen von Scripten kann per .htaccess-Konfigurationsdatei im Stammverzeichnis des virtuellen FTP-Benutzers mittels folgender Direktiven deaktiviert werden:

# CGI deaktivern
Options -ExecCGI

# PHP-FPM deaktivieren
<FilesMatch \.php$>
  SetHandler none
</FilesMatch>

Zusätzlich ist noch eine .ftpaccess-Konfigurationsdatei im Stammverzeichnis des virtuellen FTP-Benutzers erforderlich, die das Ändern der .htaccess-Konfigurationsdatei per (S)FTP verhindert. Die .ftpaccess-Konfigurationsdatei selbst muss ebenfalls vor unerwünschten Änderungen durch den virtuellen FTP-Benutzer geschützt werden. Dafür sind folgende Direktiven erforderlich:

# Kein Zugriff auf .htaccess und .ftpaccess Dateien
<Limit READ WRITE>
DenyFilter .*\.ftpaccess.*
DenyFilter .*\.htaccess.*
</Limit>

Der vollständige Zugriff auf das Verzeichnis des virtuellen FTP-Benutzers ist dann nur noch per SSH/SFTP über Port 22, d.h. nur noch über den Hauptbenutzer und nur mit einer verschlüsselten Verbindung möglich.

Links

• Was sind .htaccess-Dateien und wie kann ich sie nutzen?
• Wie kann ich den FTP-Zugriff beschränken?