Mein VariomediaHier können Sie sich im Kundenmenü einloggen. |
Weitere Logins |
Manchmal ist es erforderlich, dass Änderungen an einer Webseite von Dritten vorgenommen werden, die jedoch aus Sicherheitsgründen keinen vollständigen Zugriff auf den Webserver-Benutzeraccount erhalten sollen, sondern nur bestimmte Dateien wie z.B. Bilder in speziellen Unterverzeichnissen hochladen dürfen.
Wenn hierfür virtuelle FTP-Benutzer genutzt werden, ergeben sich jedoch Sicherheitsprobleme, da diese über hochgeladene CGI-Scripte (z.B. PHP-Dateien) vollständigen Zugriff auf den Webserver-Benutzeraccount erlangen können. Um bestimmte Upload-Verzeichnisse für virtuelle FTP-Benutzer zu schützen, muss in diesen Verzeichnissen das Ausführen von CGI-Scripten und das Ändern von Webserver-Konfigurationsdateien per (S)FTP untersagt werden.
Das Ausführen von Scripten kann per .htaccess-Konfigurationsdatei im Stammverzeichnis des virtuellen FTP-Benutzers mittels folgender Direktiven deaktiviert werden:
# CGI deaktivern
Options -ExecCGI
# PHP-FPM deaktivieren
<FilesMatch \.php$>
SetHandler none
</FilesMatch>
Zusätzlich ist noch eine .ftpaccess-Konfigurationsdatei im Stammverzeichnis des virtuellen FTP-Benutzers erforderlich, die das Ändern der .htaccess-Konfigurationsdatei per (S)FTP verhindert. Die .ftpaccess-Konfigurationsdatei selbst muss ebenfalls vor unerwünschten Änderungen durch den virtuellen FTP-Benutzer geschützt werden. Dafür sind folgende Direktiven erforderlich:
# Kein Zugriff auf .htaccess und .ftpaccess Dateien
<Limit READ WRITE>
DenyFilter .*\.ftpaccess.*
DenyFilter .*\.htaccess.*
</Limit>
Der vollständige Zugriff auf das Verzeichnis des virtuellen FTP-Benutzers ist dann nur noch per SSH/SFTP über Port 22, d.h. nur noch über den Hauptbenutzer und nur mit einer verschlüsselten Verbindung möglich.