Actions

Installation security hints/de: Difference between revisions

From LimeSurvey Manual

(Created page with "===Weitere Sicherheitsvorkehrungen===")
No edit summary
 
(102 intermediate revisions by 3 users not shown)
Line 4: Line 4:
==Generelles==
==Generelles==


LimeSurvey hat ein eigenes Sicherheitssystem eingebaut, welches standardmäßig aktiviert ist. Das LimeSurvey-Projekt übernimmt keine wie immer gearteten Forderungen, Haftungen, Ansprüche etc., welche sich aus ihrem Einsatz mit LimeSurvey ergeben, natürlich auch jenen, welche auf mangelnde Sicherheitsvorkehrungen ihrerseits beruhen. Kurz: gehen sie davon aus, dass LimeSurvey als unsicher gilt, solange sie nicht selber für entsprechende Sicherheitsvorkehrungen sorgen. Trotzdem nehmen wir Sicherheitsprobleme sehr ernst und reagieren schnell - wenn Sie also von einem Sicherheitsproblem mit LimeSurvey Kenntnis haben, so lassen Sie uns dies bitte wissen: info@limesurvey.org oder erstellen Sie einen Fehlerreport in unserem [http://bugs.limesurvey.org Bug Tracker] (markieren Sie diesen bitte als 'private').
LimeSurvey setzt auf eine eigene Sicherheit, die standardmäßig aktiviert ist. Die Autoren dieser Software übernehmen keine Verantwortung und machen keine Ansprüche hinsichtlich der Angemessenheit oder des Sicherheitsniveaus dieser Software. Allerdings nehmen wir Sicherheitsbelange sehr ernst und reagieren schnell. Wenn Sie daher von Sicherheitsproblemen in LimeSurvey wissen, teilen Sie uns dies bitte mit, indem Sie uns entweder eine E-Mail an [mailto:info@limesurvey.org info@limesurvey.org] senden oder einen Fehlerbericht in unserem [http:// bugs.limesurvey.org Bugtracker] (bitte als privat markieren).


==Dateirechte in Linux==
==Webserver-Einschränkung==
 
Wenn Sie Apache verwenden, fügt LimeSurvey zur Einschränkung eine andere htaccess-Datei hinzu. Stellen Sie sicher, dass Sie htaccess mit <code>AllowOverride</code> aktiviert haben.
 
Mit einem anderen Webserver oder wenn Sie <code>AllowOverride None</code> verwenden möchten, müssen Sie:


Wenn sie einen Linux-Server verwenden, sollten Sie entsprechende Dateiberechtigungen setzen, damit Ihre Installation gesichert ist.
* (Option) Zugriff auf alle Dateien in application, protected, framework und themes/*/views deaktivieren
* (Option) Zugriff auf die vom Benutzer hochgeladene Datei /upload/surveys/.*/fu_[a-z0-9] deaktivieren
* (Option) Zugriff auf die ausführbare Datei im Upload-Verzeichnis deaktivieren


===Grundlegende Fakten &uuml;ber Linux/*nix Dateiberechtigungen===
Ein Beispiel für Nginx finden Sie in unseren [[General_FAQ#With_nginx_webserver|Allgemeinen FAQ]]


Ein Linux/*nix System ist normalerweise ein Mehrbenutzersystem. Das bedeutet, dass abgesehen von Ihrem pers&ouml;nlichen Zugang noch andere Benutzerzug&auml;nge auf dem System bestehen k&ouml;nnten und daher sollten Sie darauf achten, welche Berechtigungen Sie diesen anderen Benutzern geben.
==Dateirechte in Linux==


<div class="simplebox">[[File:help.png]] '''Hinweis:''' Das Setzen von Dateiberechtigungen ist besonders wichtig bei Konfigurationsdateien, die normalerweise sensible Daten enthalten, wie z.B. Kennworte.</div>
Wenn Sie einen Linux-Server verwenden, müssen Sie die Dateiberechtigungen entsprechend festlegen, um Ihre LimeSurey-Installation zu sichern.


"Sie sollten aber wissen, dass ein 'root' Zugang immer Zugriff auf Ihre Dateien hat (egal welche Berechtigungen Sie setzen), da diese der Super-Admin Benutzer ist."
===Grundlegende Fakten über Linux/*nix Dateiberechtigungen===


Der Webserver (auf dem LimeSurvey l&auml;uft) l&auml;uft normalerweise auch unter einem bestimmten Identit&auml;t/User. Unter Linux ist dies &uuml;blicherweise der 'www','www-data' (auf Debian/Ubuntu), 'apache' oder 'nobody' User. Einige Webhoster nutzen eine System (wie z.B. suexec) welches es erm&ouml;glicht, LimeSurvey unter einem pers&ouml;nlichen Nutzer laufen zu lassen. Nat&uuml;rlich muss der Webserver User die Berechtigung zum Lesen der LimeSurvey Dateien haben. Aber nur eine begrenzte Anzahl an Unterverzeichnissen im LimeSurvey Verzeichnisbaum muss auch durch den Webserver-Benutzer beschreibbar sein.
Ein Linux/*nix System ist normalerweise ein Mehrbenutzersystem. Das bedeutet, dass abgesehen von Ihrem persönlichen Zugang noch andere Benutzerzugänge auf dem System bestehen könnten und daher sollten Sie darauf achten, welche Berechtigungen Sie diesen anderen Benutzern geben.


<div class="simplebox">[[File:help.png]] '''Hinweis''': Es ist auf jeden Fall sinnvoll die Schreibrechte auf allen nicht ben&ouml;tigen Verzeichnissen zu entfernen. Selbst wenn eine LimeSurvey SIcherheitsl&uuml;cke entdeckt werden sollte, sind die Hauptdateien dank der Dateiberechtigungen dann immer noch vor Manipulationen gesch&uuml;tzt.</div>
<div class="simplebox">[[File:help.png]] '''Hinweis:''' Das Festlegen von Dateiberechtigungen ist besonders wichtig, um Konfigurationsdateien mit kritischen Daten wie Passwörtern zu schützen.</div>


===Setzen von Berechtigungen auf einem selbstverwalteten Linux-System===
''Bedenken Sie, dass dem Root-Konto immer die Berechtigung zum Zugriff auf Ihre Dateien gewährt wird (unabhängig von den von Ihnen festgelegten Dateiberechtigungen), da es sich um den Superadministrator handelt.''


If you're managing your webserver and operating system configuration (you are the owner of the physical server or are renting a virtual server on which you have root access), you can follow these recommendations.
Der Webserver (auf dem LimeSurvey läuft) läuft ebenfalls unter einer bestimmten Identität (Benutzer). Unter Linux ist dies normalerweise der Benutzer „www“, „www-data“ (unter Debian/Ubuntu), „Apache“ oder „nobody“. Einige Hosting-Unternehmen verwenden jedoch Systeme (wie z. B. suexec), die es ermöglichen, LimeSurvey-Skripte mit Ihrem persönlichen Benutzer auszuführen. Natürlich muss der Webserver-Benutzer das Recht haben, LimeSurvey-Dateien zu lesen. Allerdings darf nur eine kleine Teilmenge der LimeSurvey-Unterverzeichnisse vom Webserverbenutzer beschreibbar sein.
*F&uuml;r das LimeSurvey Stammverzeichnis (oder wie immer sie es benannt haben) - chmod 755 (lesen/ausf&uuml;hren - f&uuml;r die gesamte Welt)
*F&uuml;r die Dateien im LimeSurvey Verzeichnis - chmod 755 (lesen/ausf&uuml;hren - f&uuml;r die gesamte Welt)
*F&uuml;r das tmp Verzeichnis - chmod 755 - dieses Verzeichnis ist beim Erstellen leer und wird danach verwendet um Dateien hochzuladen, Grafiken, welche mit JPGraph erstellt wurden zu speichern, ebenso werden dort Dateien vom Vorlagen-Editor abgelegt.
* F&uuml;r Dateien im admin Verzeichnis - chmod 755 (lesen/ausf&uuml;hren - f&uuml;r die gesamte Welt)


Die Standard-Dateien in diesem Verzeichnis ben&ouml;tigen keine Schreibrechte - de facto sollten sie auch keine bekommen, da bei normalen Gebrauch von LimeSurvey sie nie welche ben&ouml;tigen werden.
<div class="simplebox">[[File:help.png]] '''Hinweis''': Es ist sehr nützlich, dem Webserverbenutzer die Schreibberechtigung für diese LimeSurvey-Unterverzeichnisse zu entziehen, die diese nicht benötigen. Selbst wenn eine LimeSurvey-Schwachstelle entdeckt wird, sind die Hauptdateien dank der Dateisystemberechtigungen dennoch vor einer unerlaubten Änderung geschützt.</div>


A possible strategy is to set the owner of the LimeSurvey files to your personal username, and the group of the LimeSurvey files to the webserver group. Usually this webserver group only contains the webserver account (and possibly another webmaster account).
===Setzen von Berechtigungen auf einem selbstverwalteten Linux-System===


For instance if your username is 'myaccount' and the webserver user is 'apache' in the 'apache' group, then, from a shell access, you can use the following command:
Wenn Sie die Konfiguration Ihres Webservers und Betriebssystems verwalten (Sie sind Eigentümer des physischen Servers oder mieten einen virtuellen Server, auf den Sie Root-Zugriff haben), können Sie die folgenden Empfehlungen berücksichtigen.


$ chown -R myaccount:apache limesurvey/
Sie können zunächst den Eigentümer und die Gruppe Ihrer LimeSurvey-Dateien festlegen, um die Einrichtung der Dateiberechtigungen zu vereinfachen. Eine mögliche Strategie besteht darin, den Eigentümer der LimeSurvey-Dateien auf Ihren persönlichen Benutzernamen und die Gruppe der LimeSurvey-Dateien auf die Webservergruppe festzulegen. Normalerweise enthält diese Webservergruppe nur das Webserverkonto (und möglicherweise ein weiteres Webmasterkonto). Wenn Ihr Benutzername beispielsweise „myaccount“ lautet und der Webserver-Benutzer „apache“ in der Gruppe „apache“ ist, können Sie über einen Shell-Zugriff den folgenden Befehl verwenden: <code>$ chown -R myaccount:apache limesurvey/</code> . Anschließend legen Sie die Datei- und Unterverzeichnisberechtigungen fest.


Then set the file and subdirectories permissions.
Damit das Skript ordnungsgemäß funktioniert, ist Schreibzugriff auf einige Verzeichnisse erforderlich:
*Das Verzeichnis /limesurvey/application/config erfordert „Lesen und Schreiben“, um die Anwendungskonfigurationseinstellungen zu speichern
*Das Verzeichnis /limesurvey/tmp und seine Unterverzeichnisse werden für Importe/Uploads verwendet und sollten für Ihren Webserver auf „Lesen und Schreiben“ eingestellt sein
*Das Verzeichnis upload/directory und alle seine Unterverzeichnisse müssen ebenfalls über Lese- und Schreibrechte verfügen, damit Bilder und Mediendateien hochgeladen werden können
* Alle anderen Verzeichnisse und Dateien können auf „Schreibgeschützt“ gesetzt werden.


For the script to work properly it needs write access to some directories:
<div class="simplebox">[[File:help.png]] '''Hinweis:''' Angenommen, Sie haben die oben genannten Empfehlungen für Eigentümer/Gruppe befolgt, können diese Einstellungen mit den folgenden Befehlen angewendet werden:
*The "/limesurvey/tmp" directory and its subdirectories are used for imports/uploads and should be set to ''Read & Write'' for your webserver.
*The upload/ directory and all its subdirectories must also have ''Read & Write'' for your webserver in order to enable picture and media files upload.
* All other directories and files can be set to ''Read Only''


<div class="simplebox">[[File:help.png]] '''Hint:''' Supposing you've followed the above recommendations on owner/group, these settings can be applied by the following commands:
<code>$ chmod -R o-r-w-x limesurvey/</code>


$ chmod -R o-r-w-x limesurvey/
<code>$ chmod -R -w limesurvey/</code>


$ chmod -R -w limesurvey/
<code>$ chmod -R 770 limesurvey/application/config</code>


$ chmod -R 770 limesurvey/tmp
<code>$ chmod -R 770 limesurvey/tmp</code>


$ chmod -R 770 limesurvey/upload
<code>$ chmod -R 770 limesurvey/upload</code>


</div>
</div>


===Dateirechte mit Windows===
===Festlegen von Dateiberechtigungen auf einem gehosteten Webserver===


Wenn sie einen Windows Webserver verwenden sollten sie sicherstellen, dass der Benutzer des Webserver-Prozess Schreibrechte auf das admin Verzeichnis hat. F&uuml;r alle anderen Dateien gen&uuml;gen "nur Lesen" und "Ausf&uuml;hren"-Rechte.
Angesichts der Schwierigkeit eines Standardverfahrens zum Sichern einer Webanwendung in einer gehosteten Umgebung ist dies ziemlich schwierig, da sich gehostete Umgebungen in vielerlei Hinsicht unterscheiden.


As in the managed server case, for the script to work properly it needs write access to some directories:
Damit das Skript funktioniert, muss es Schreibzugriff auf einige Verzeichnisse haben:
*The "/limesurvey/tmp" directory is used for imports/uploads and should be set to ''Read & Write'' for your webserver.
*Das "/limesurvey/tmp" Verzeichnis und dessen Unterverzeichnisse sind für Importe/Uploads und sollte auf "Lesen & Schreiben" für deinen Webserver gesetzt sein.
*The upload/ directory and all its sub directories must also have ''Read & Write'' for your webserver in order to enable picture and media files upload.
*Das upload/ Verzeichnis und alle Unterverzeichnisse müssen auch "Lesen & Schreiben" für Ihren Webserver gesetzt haben, um es zu ermöglichen Bild- und Mediendateien hochzuladen.
* The other directories and files should be set to ''Read Only''
*Alle anderen Verzeichnisse und Dateien können auf "Nur Lesen" gesetzt werden.


<div class="simplebox">[[File:help.png]] '''Hint:'''
<div class="simplebox">[[File:help.png]] '''Hint:'''
* Depending on your webserver configuration you will have to chmod the rights on the writable folders to 755 or 777 to make it writable for the webserver. Try 755 first - if it does not work 'upgrade' to 777.
* Depending on your web server configuration, you will have to chmod the rights on the writable folders to 755 or 777 to make it writable for the web server. Try 755 first, if it does not work, 'upgrade' to 777
* You can also try to remove read access to config.php to others by setting this file's permissions to 750 - if it does not work 'upgrade' to 755.</div>
* You can also try to remove other users' read access to config.php by setting this file's permissions to 750 - if it does not work, 'upgrade' to 755</div>


==Windows file permissions==
==Dateirechte in Windows==


If you are using a windows server your should ensure that the admin folder allows the owner of the webserver process to write files to this directory, however all other files can be set to read-only and execute.
Wenn Sie einen Windows-Server verwenden, sollten Sie sicherstellen, dass der Admin-Ordner es dem Eigentümer des Webserverprozesses ermöglicht, Dateien in dieses Verzeichnis zu schreiben. Die restlichen Dateien können auf "Nur Lesen" ausgeführt werden.


===Weitere Sicherheitsvorkehrungen===
===Weitere Sicherheitsvorkehrungen===


The following are recommendations only. LimeSurvey in general is very safe without these additional measure. If you however collect extremely sensitive data a little additional security can help:
Im Folgenden handelt es sich lediglich um Empfehlungen. Ohne diese zusätzlichen Maßnahmen ist LimeSurvey im Allgemeinen sehr sicher. Wenn Sie jedoch äußerst sensible Daten sammeln, kann ein wenig zusätzliche Sicherheit helfen:
 
===SSL-Nutzung===
Wir empfehlen generell die Verwendung von SSL für sensible Umfragedaten. Normalerweise aktivieren Sie SSL, indem Sie Ihren Webserver richtig konfigurieren und ein SSQL-Zertifikat verwenden. Wenn Sie SSL aktiviert haben, sollten Sie SSL in den [[Global_settings|globalen Einstellungen]] von LimeSurvey ständig erzwingen. Darüber hinaus können Sie nur die Verwendung von „sicheren“ Cookies festlegen, indem Sie die [[Optional_settings|entsprechende Option]] in config.php bearbeiten.


The /application/config/config.php file contains a user name and password for your database server. This poses certain security issues, particularly if you are using a login that has high level administrative access to your database. In the event of some error returning the content of this PHP file to a user's browser, your database password and other details could be compromised (please note, that this is a very unlikely scenario). The best way to minimize risk is to set up a specific login that has specific rights only to your limesurvey database.
=== Der Zugriff auf die Datei config.php ===


Another way to secure this information can be to put the certain information from the /application/config/config.php file in a non-web directory, i.e. for Apache users this is the directory above the htdocs (aka public_html or www) folder. So you will use config.php, but have one line in it - a line that includes the file with ACTUAL configuration information (ex: <?php return include("/home/hostfolder/safedata/configreal.php"); ?>). Remove all actual configuration information from /application/config/config.php, and paste it into the other file (configreal.php) that is included by /application/config/config.php. This other file should be located in a non-Web directory. Then /application/config/config.php will not contain database passwords, etc. - just the name of the file that DOES contain the database info. This avoids having to change all the other files that include /application/config/config.php, since they can still include it, and it will include the real config information. However you will need to edit configreal.php and change the follow parameters
{{Alarm| Sie müssen application/config/''config.php'' erst aktualisieren, nachdem die erste Installation abgeschlossen ist und es funktioniert.}}


<syntaxhighlight lang="php" enclose="div">
Die Datei /application/config/config.php enthält einen Benutzernamen und ein Passwort für Ihren Datenbankserver. Dies wirft bestimmte Sicherheitsprobleme auf, insbesondere wenn Sie eine Anmeldung verwenden, die über einen hohen Verwaltungszugriff auf Ihre Datenbank verfügt. Im Falle eines Fehlers bei der Rückgabe des Inhalts dieser PHP-Datei an den Browser eines Benutzers könnten Ihr Datenbankkennwort und andere Daten kompromittiert werden (dies ist jedoch ein sehr unwahrscheinliches Szenario). Der beste Weg, das Risiko zu minimieren, besteht darin, ein bestimmtes Login einzurichten, das nur bestimmte Rechte für Ihre LimeSurvey-Datenbank hat.
 
Eine andere Möglichkeit, diese Informationen zu sichern, besteht darin, die Informationen aus der Datei /application/config/config.php in einem Nicht-Web-Verzeichnis abzulegen, d. h. für Apache-Benutzer ist dies das Verzeichnis über dem Ordner htdocs (auch bekannt als public_html oder www). Grundsätzlich verwenden Sie config.php, haben aber eine Zeile darin – eine Zeile, die die Datei mit den TATSÄCHLICHEN Konfigurationsinformationen enthält (z. B.:<?php return include("/home/hostfolder/safedata/configreal.php"); ?>). Entfernen Sie alle tatsächlichen Konfigurationsinformationen aus /application/config/config.php und fügen Sie sie in die andere Datei (configreal.php) ein, die in der Datei /application/config/''config.php'' erwähnt wird. Diese andere Datei sollte sich in einem Nicht-Webverzeichnis befinden. Dann enthält /application/config/config.php keine Datenbankkennwörter usw., sondern nur den Namen der Datei, die die Datenbankinformationen enthält.
 
Dadurch wird vermieden, dass alle anderen Dateien, zu denen /application/config/config.php gehört, geändert werden müssen, da config.php sie auf die Konfigurationsdatei „umleitet“, die sich in einem Nicht-Webverzeichnis befindet und alle tatsächlichen Konfigurationsinformationen enthält. Sie müssen jedoch configreal.php bearbeiten und die folgenden Parameter ändern, um absolute Verzeichnispfade zu verwenden, damit es ordnungsgemäß funktioniert:
 
<syntaxhighlight lang="php">


'basePath' => dirname(dirname('''FILE''')),
'basePath' => dirname(dirname('''FILE''')),
'runtimePath' => dirname(dirname(dirname('''FILE'''))).DIRECTORY_SEPARATOR.'tmp'.DIRECTORY_SEPARATOR.'runtime',
'runtimePath' => dirname(dirname(dirname('''FILE'''))).DIRECTORY_SEPARATOR.'tmp'.DIRECTORY_SEPARATOR.'runtime',
[...]
[...]


'urlManager' => array(
'urlManager' => array(
   [...]
   [...]
   'rules' => require('routes.php'),
   'rules' => require('routes.php'),
   [...]
   [...]
);
);
</syntaxhighlight>
</syntaxhighlight>


to use absolute directory paths to work properly. Example:
Beispiel:


<syntaxhighlight lang="php" enclose="div">
<syntaxhighlight lang="php" enclose="div">
'basePath' => '/var/www/htdocs/limesurvey',
'basePath' => '/var/www/htdocs/limesurvey',
'runtimePath' => '/var/www/htdocs/limesurvey/tmp/runtime',
'runtimePath' => '/var/www/htdocs/limesurvey/tmp/runtime',
[...]
[...]


'urlManager' => array(
'urlManager' => array(
   [...]
   [...]
   'rules' => require('/var/www/htdocs/limesurvey/config/routes.php'),
   'rules' => require('/var/www/htdocs/limesurvey/config/routes.php'),
   [...]
);
</syntaxhighlight>


   [...]
Außerdem gilt: „Verwenden Sie nicht „admin“ als Standardbenutzer“. Gehen Sie zu Ihrer MySQL-Datenbank (oder der Datenbank, in der Sie LimeSurvey installiert haben) und ändern Sie den Standardbenutzernamen „admin“ in einen beliebigen Namen (z. B. „admin_xyz“). Es wird jetzt viel schwieriger sein, den neuen Benutzernamen des Administrators zu erraten. Denken Sie daran, dass dies eine der beiden Variablen ist, die Eindringlinge nutzen können, um sich Zugang zu verschaffen. Das Admin-Passwort ist die andere Variable. Wählen Sie beide daher mit äußerster Vorsicht aus.


);


</syntaxhighlight>
=== Inhaltssicherheitsrichtlinie (CSP) ===


Also don't use "admin" as the default user. Go to your MySQL database (or other one if you installed LimeSurvey on different database) and change default user name "admin" to whatever you prefer (e.g. "admin_xyz"). It will be now much harder to guess administrator's new user name. Remember, this is one of the two variables intruders can use to gain access. The admin password is the other variable. So choose it with extreme care.
'''HAFTUNGSAUSSCHLUSS – Das hier bereitgestellte CSP ist nur ein Beispiel und darf nicht wörtlich verwendet werden. Es ist als Ausgangspunkt gedacht und Sie MÜSSEN es an Ihre Bedürfnisse anpassen und gründlich testen.'''
<nowiki><IfModule mod_headers.c>
Header setzt immer Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; base-uri 'none'; form-action 'self'; frame-ancestors 'self'; upgrade-insecure-requests" "expr=%{CONTENT_TYPE} =~ m#text\/(html|javascript )|application\/pdf|xml#i"
</IfModule></nowiki>

Latest revision as of 09:15, 26 March 2024

Other languages:

Generelles

LimeSurvey setzt auf eine eigene Sicherheit, die standardmäßig aktiviert ist. Die Autoren dieser Software übernehmen keine Verantwortung und machen keine Ansprüche hinsichtlich der Angemessenheit oder des Sicherheitsniveaus dieser Software. Allerdings nehmen wir Sicherheitsbelange sehr ernst und reagieren schnell. Wenn Sie daher von Sicherheitsproblemen in LimeSurvey wissen, teilen Sie uns dies bitte mit, indem Sie uns entweder eine E-Mail an info@limesurvey.org senden oder einen Fehlerbericht in unserem [http:// bugs.limesurvey.org Bugtracker] (bitte als privat markieren).

Webserver-Einschränkung

Wenn Sie Apache verwenden, fügt LimeSurvey zur Einschränkung eine andere htaccess-Datei hinzu. Stellen Sie sicher, dass Sie htaccess mit AllowOverride aktiviert haben.

Mit einem anderen Webserver oder wenn Sie AllowOverride None verwenden möchten, müssen Sie:

  • (Option) Zugriff auf alle Dateien in application, protected, framework und themes/*/views deaktivieren
  • (Option) Zugriff auf die vom Benutzer hochgeladene Datei /upload/surveys/.*/fu_[a-z0-9] deaktivieren
  • (Option) Zugriff auf die ausführbare Datei im Upload-Verzeichnis deaktivieren

Ein Beispiel für Nginx finden Sie in unseren Allgemeinen FAQ

Dateirechte in Linux

Wenn Sie einen Linux-Server verwenden, müssen Sie die Dateiberechtigungen entsprechend festlegen, um Ihre LimeSurey-Installation zu sichern.

Grundlegende Fakten über Linux/*nix Dateiberechtigungen

Ein Linux/*nix System ist normalerweise ein Mehrbenutzersystem. Das bedeutet, dass abgesehen von Ihrem persönlichen Zugang noch andere Benutzerzugänge auf dem System bestehen könnten und daher sollten Sie darauf achten, welche Berechtigungen Sie diesen anderen Benutzern geben.

Hinweis: Das Festlegen von Dateiberechtigungen ist besonders wichtig, um Konfigurationsdateien mit kritischen Daten wie Passwörtern zu schützen.

Bedenken Sie, dass dem Root-Konto immer die Berechtigung zum Zugriff auf Ihre Dateien gewährt wird (unabhängig von den von Ihnen festgelegten Dateiberechtigungen), da es sich um den Superadministrator handelt.

Der Webserver (auf dem LimeSurvey läuft) läuft ebenfalls unter einer bestimmten Identität (Benutzer). Unter Linux ist dies normalerweise der Benutzer „www“, „www-data“ (unter Debian/Ubuntu), „Apache“ oder „nobody“. Einige Hosting-Unternehmen verwenden jedoch Systeme (wie z. B. suexec), die es ermöglichen, LimeSurvey-Skripte mit Ihrem persönlichen Benutzer auszuführen. Natürlich muss der Webserver-Benutzer das Recht haben, LimeSurvey-Dateien zu lesen. Allerdings darf nur eine kleine Teilmenge der LimeSurvey-Unterverzeichnisse vom Webserverbenutzer beschreibbar sein.

Hinweis: Es ist sehr nützlich, dem Webserverbenutzer die Schreibberechtigung für diese LimeSurvey-Unterverzeichnisse zu entziehen, die diese nicht benötigen. Selbst wenn eine LimeSurvey-Schwachstelle entdeckt wird, sind die Hauptdateien dank der Dateisystemberechtigungen dennoch vor einer unerlaubten Änderung geschützt.

Setzen von Berechtigungen auf einem selbstverwalteten Linux-System

Wenn Sie die Konfiguration Ihres Webservers und Betriebssystems verwalten (Sie sind Eigentümer des physischen Servers oder mieten einen virtuellen Server, auf den Sie Root-Zugriff haben), können Sie die folgenden Empfehlungen berücksichtigen.

Sie können zunächst den Eigentümer und die Gruppe Ihrer LimeSurvey-Dateien festlegen, um die Einrichtung der Dateiberechtigungen zu vereinfachen. Eine mögliche Strategie besteht darin, den Eigentümer der LimeSurvey-Dateien auf Ihren persönlichen Benutzernamen und die Gruppe der LimeSurvey-Dateien auf die Webservergruppe festzulegen. Normalerweise enthält diese Webservergruppe nur das Webserverkonto (und möglicherweise ein weiteres Webmasterkonto). Wenn Ihr Benutzername beispielsweise „myaccount“ lautet und der Webserver-Benutzer „apache“ in der Gruppe „apache“ ist, können Sie über einen Shell-Zugriff den folgenden Befehl verwenden: $ chown -R myaccount:apache limesurvey/ . Anschließend legen Sie die Datei- und Unterverzeichnisberechtigungen fest.

Damit das Skript ordnungsgemäß funktioniert, ist Schreibzugriff auf einige Verzeichnisse erforderlich:

  • Das Verzeichnis /limesurvey/application/config erfordert „Lesen und Schreiben“, um die Anwendungskonfigurationseinstellungen zu speichern
  • Das Verzeichnis /limesurvey/tmp und seine Unterverzeichnisse werden für Importe/Uploads verwendet und sollten für Ihren Webserver auf „Lesen und Schreiben“ eingestellt sein
  • Das Verzeichnis upload/directory und alle seine Unterverzeichnisse müssen ebenfalls über Lese- und Schreibrechte verfügen, damit Bilder und Mediendateien hochgeladen werden können
  • Alle anderen Verzeichnisse und Dateien können auf „Schreibgeschützt“ gesetzt werden.
Hinweis: Angenommen, Sie haben die oben genannten Empfehlungen für Eigentümer/Gruppe befolgt, können diese Einstellungen mit den folgenden Befehlen angewendet werden:

$ chmod -R o-r-w-x limesurvey/

$ chmod -R -w limesurvey/

$ chmod -R 770 limesurvey/application/config

$ chmod -R 770 limesurvey/tmp

$ chmod -R 770 limesurvey/upload

Festlegen von Dateiberechtigungen auf einem gehosteten Webserver

Angesichts der Schwierigkeit eines Standardverfahrens zum Sichern einer Webanwendung in einer gehosteten Umgebung ist dies ziemlich schwierig, da sich gehostete Umgebungen in vielerlei Hinsicht unterscheiden.

Damit das Skript funktioniert, muss es Schreibzugriff auf einige Verzeichnisse haben:

  • Das "/limesurvey/tmp" Verzeichnis und dessen Unterverzeichnisse sind für Importe/Uploads und sollte auf "Lesen & Schreiben" für deinen Webserver gesetzt sein.
  • Das upload/ Verzeichnis und alle Unterverzeichnisse müssen auch "Lesen & Schreiben" für Ihren Webserver gesetzt haben, um es zu ermöglichen Bild- und Mediendateien hochzuladen.
  • Alle anderen Verzeichnisse und Dateien können auf "Nur Lesen" gesetzt werden.
Hint:
  • Depending on your web server configuration, you will have to chmod the rights on the writable folders to 755 or 777 to make it writable for the web server. Try 755 first, if it does not work, 'upgrade' to 777
  • You can also try to remove other users' read access to config.php by setting this file's permissions to 750 - if it does not work, 'upgrade' to 755

Dateirechte in Windows

Wenn Sie einen Windows-Server verwenden, sollten Sie sicherstellen, dass der Admin-Ordner es dem Eigentümer des Webserverprozesses ermöglicht, Dateien in dieses Verzeichnis zu schreiben. Die restlichen Dateien können auf "Nur Lesen" ausgeführt werden.

Weitere Sicherheitsvorkehrungen

Im Folgenden handelt es sich lediglich um Empfehlungen. Ohne diese zusätzlichen Maßnahmen ist LimeSurvey im Allgemeinen sehr sicher. Wenn Sie jedoch äußerst sensible Daten sammeln, kann ein wenig zusätzliche Sicherheit helfen:

SSL-Nutzung

Wir empfehlen generell die Verwendung von SSL für sensible Umfragedaten. Normalerweise aktivieren Sie SSL, indem Sie Ihren Webserver richtig konfigurieren und ein SSQL-Zertifikat verwenden. Wenn Sie SSL aktiviert haben, sollten Sie SSL in den globalen Einstellungen von LimeSurvey ständig erzwingen. Darüber hinaus können Sie nur die Verwendung von „sicheren“ Cookies festlegen, indem Sie die entsprechende Option in config.php bearbeiten.

Der Zugriff auf die Datei config.php

Template:Alarm

Die Datei /application/config/config.php enthält einen Benutzernamen und ein Passwort für Ihren Datenbankserver. Dies wirft bestimmte Sicherheitsprobleme auf, insbesondere wenn Sie eine Anmeldung verwenden, die über einen hohen Verwaltungszugriff auf Ihre Datenbank verfügt. Im Falle eines Fehlers bei der Rückgabe des Inhalts dieser PHP-Datei an den Browser eines Benutzers könnten Ihr Datenbankkennwort und andere Daten kompromittiert werden (dies ist jedoch ein sehr unwahrscheinliches Szenario). Der beste Weg, das Risiko zu minimieren, besteht darin, ein bestimmtes Login einzurichten, das nur bestimmte Rechte für Ihre LimeSurvey-Datenbank hat.

Eine andere Möglichkeit, diese Informationen zu sichern, besteht darin, die Informationen aus der Datei /application/config/config.php in einem Nicht-Web-Verzeichnis abzulegen, d. h. für Apache-Benutzer ist dies das Verzeichnis über dem Ordner htdocs (auch bekannt als public_html oder www). Grundsätzlich verwenden Sie config.php, haben aber eine Zeile darin – eine Zeile, die die Datei mit den TATSÄCHLICHEN Konfigurationsinformationen enthält (z. B.:<?php return include("/home/hostfolder/safedata/configreal.php"); ?>). Entfernen Sie alle tatsächlichen Konfigurationsinformationen aus /application/config/config.php und fügen Sie sie in die andere Datei (configreal.php) ein, die in der Datei /application/config/config.php erwähnt wird. Diese andere Datei sollte sich in einem Nicht-Webverzeichnis befinden. Dann enthält /application/config/config.php keine Datenbankkennwörter usw., sondern nur den Namen der Datei, die die Datenbankinformationen enthält.

Dadurch wird vermieden, dass alle anderen Dateien, zu denen /application/config/config.php gehört, geändert werden müssen, da config.php sie auf die Konfigurationsdatei „umleitet“, die sich in einem Nicht-Webverzeichnis befindet und alle tatsächlichen Konfigurationsinformationen enthält. Sie müssen jedoch configreal.php bearbeiten und die folgenden Parameter ändern, um absolute Verzeichnispfade zu verwenden, damit es ordnungsgemäß funktioniert: 

'basePath' => dirname(dirname('''FILE''')),
'runtimePath' => dirname(dirname(dirname('''FILE'''))).DIRECTORY_SEPARATOR.'tmp'.DIRECTORY_SEPARATOR.'runtime',
[...]

'urlManager' => array(
   [...]
   'rules' => require('routes.php'),
   [...]
);

Beispiel: 

'basePath' => '/var/www/htdocs/limesurvey',
'runtimePath' => '/var/www/htdocs/limesurvey/tmp/runtime',
[...]

'urlManager' => array(
   [...]
   'rules' => require('/var/www/htdocs/limesurvey/config/routes.php'),
   [...]
);

Außerdem gilt: „Verwenden Sie nicht „admin“ als Standardbenutzer“. Gehen Sie zu Ihrer MySQL-Datenbank (oder der Datenbank, in der Sie LimeSurvey installiert haben) und ändern Sie den Standardbenutzernamen „admin“ in einen beliebigen Namen (z. B. „admin_xyz“). Es wird jetzt viel schwieriger sein, den neuen Benutzernamen des Administrators zu erraten. Denken Sie daran, dass dies eine der beiden Variablen ist, die Eindringlinge nutzen können, um sich Zugang zu verschaffen. Das Admin-Passwort ist die andere Variable. Wählen Sie beide daher mit äußerster Vorsicht aus.


Inhaltssicherheitsrichtlinie (CSP)

HAFTUNGSAUSSCHLUSS – Das hier bereitgestellte CSP ist nur ein Beispiel und darf nicht wörtlich verwendet werden. Es ist als Ausgangspunkt gedacht und Sie MÜSSEN es an Ihre Bedürfnisse anpassen und gründlich testen. <IfModule mod_headers.c> Header setzt immer Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; base-uri 'none'; form-action 'self'; frame-ancestors 'self'; upgrade-insecure-requests" "expr=%{CONTENT_TYPE} =~ m#text\/(html|javascript )|application\/pdf|xml#i" </IfModule>

Retrieved from "http://manual.limesurvey.org/index.php?title=Installation_security_hints/de&oldid=376264"