ISPConfig Host absichern

ISPConfig – Webseite wählen – Optionen und falls mit PHP (sonst egal)

AllowOverride sollte im
All
sein, damit alle Parameter in der lokalen Config des Users (so verstehe ich es derzeit) überschrieben werden dürfen.
Setzt man dies auf None, funktioniert auch das mod_rewrite nicht mehr!

In den PHP-Direktiven Folgendes eintragen (unnötiges streichen zB mcrypt oder das memory_limit auf 128M reicht eigentlich auch locker, wichtig sind die disable_function):

short_open_tag=on
memory_limit=2048M
extension=mcrypt.so
disable_functions = siehe unterhalb

Der Backtick-Operator ist ein Alias für shell_exec. Ansonsten:

disable_functions = exec,system,passthru,shell_exec,popen,escapeshellcmd,proc_open,proc_nice

Die Funktionen sollten auch FastCGI-Nutzer deaktivieren, auch wenn da schon jeder Virtual Host durch einen separaten Nutzer ausgeführt wird. Sofern PCNTL installiert ist, sollten FastCGI-Nutzer (mod_php ist davon nicht betroffen, da gibt es kein PCNTL) zusätzlichen die folgenden Funktionen deaktivieren:

disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,exec,system,passthru,shell_exec,popen,escapeshellcmd,proc_open,proc_nice

Auf der DEV und auf WWL ist shell_exec erlaubt!
Das sollte sich irgendwann noch ändern.