Ich habe bis jetzt nur einen eigenen Webserver aufgesetzt. Webspace muss ich zum allerersten Mal konfigurieren.
Beim Installieren von phpMyAdmin ist mir ein großes Sicherheitsproblem aufgefallen.
Ich habe einen FTP User im Panel erstellt und mich mit SSH eingelogt.
Bevor ich phpMyAdmin installiere wollte ich erstmals testen wie es sich mit den Zugriffsrechten auf dem Webspace verhält.
mkdir test # das verzeichnis wird mit den rechten 755 erstellt
cd test
nano index.html # die datei wird mit den rechten 644 erstellt
im Webbrowser getestet und die Datei wird angezeigt.
Ich lege nun eine config Datei für phpMyAdmin an und versuche sie von außen nicht lesbar zu machen, damit ich kein Sicherheitsloch reiße.
mkdir phpMyAdmin
cd phpMyAdmin
nano config.inc.php
chmod 600 config.inc.php
Ich überprüfe config.inc.php und die rechte sind korrekt bei 600:
find . -maxdepth 1 -printf "%m %f\n"
600 config.inc.php
Zu meiner großen Überraschung ist die Datei jedoch weiterhin von Außen erreichbar!
Sowohl wget als auch curl können auch den Inhalt von https://server/test/config.inc.php zugreifen.
Was ist hier los? Wie mache ich die Datei nur intern lesbar? Ich nehme mal an, daß es viele Leute nicht testen und es viele Webspaces gibt mit ungeschützten Configdateien (mit Datenbankpasswörtern drin).