Hallo
Da meine CMS system mit aktivertem Safe-Mode nicht funktioniert und , ich trotzdem einen etwas Sicheren Webserver benötige habe ich mir mal ein paar gedanken gemacht wie man PHP trotzdem einigermaßen absichern kann. Habe unteranderem Openbasedir aktivert. Die "Gefährlichen" Funktioen wie passthru,exec,system,popen,proc_open,shell_exec deaktivert. Wobei ich auch gerne fopen und fwrite deaktiverien wolle, leider braucht das mein CMS.Allow_url_fopen habe ich ebenfalls deaktivert. Ist diese einstellung noch Sicherer zu realisieren? Würde mich über Tips in der richtung Freuen
mfg
Cybersonic
PHP ohne Safe-mode gut absicheren?
Re: PHP ohne Safe-mode gut absicheren?
Hi,
wenn du es sicher haben willst dann entweder mit suexec http://www.rootforum.org/forum/viewtopic.php?t=28561 oder wenns richtig sicher sein soll dann mit dem Lighty und das PHP in einem Jail laufen lassen (wie das geht findest du über die SUFU).
wenn du es sicher haben willst dann entweder mit suexec http://www.rootforum.org/forum/viewtopic.php?t=28561 oder wenns richtig sicher sein soll dann mit dem Lighty und das PHP in einem Jail laufen lassen (wie das geht findest du über die SUFU).
Re: PHP ohne Safe-mode gut absicheren?
Installier doch Mod_security und sichere den deaktivierten safe_mode damit ab.
Füge Regeln ein die die "erlaubten" Funktionen erlauben, der Rest wird nicht zugelassen (Ã la DenyAll).
Wo ich es schon anspreche,... einige unser Kunden nutzen dazu die DenyAll Webapplikation Firewall. Natürlich eine kostenintensive professionelle Lösung.
Alternative --> Mod_Security.
Elvis
Füge Regeln ein die die "erlaubten" Funktionen erlauben, der Rest wird nicht zugelassen (Ã la DenyAll).
Wo ich es schon anspreche,... einige unser Kunden nutzen dazu die DenyAll Webapplikation Firewall. Natürlich eine kostenintensive professionelle Lösung.
Alternative --> Mod_Security.
Elvis
Re: PHP ohne Safe-mode gut absicheren?
von welchem cms reden wir denn hier? eventuell läuft das ja sogar mit safe_mode aber du weisst nichts davon. nur weil die leute die brüllen es geht nicht in der mehrheit sind, heisst es nicht das sie recht haben.
da ein cms ziemlich viele befehle in ziemlich vielen varianten entgegen nimmt, könntest du die mod_security regeln von got root holen
http://www.gotroot.com/tiki-index.php?p ... rity+rules
falls du debian sarge auf deinem server laufen hast solltest du dir vielleicht das hier eintragen
deb http://etc.inittab.org/~agi/debian/liba ... rity/sarge ./
andernfalls würdest du die version 1.8.7 installieren und die kommt nicht mit allen regeln klar da sich die syntax im laufe der versionen bis aktuell 1.9.4 geändert hat.
mit allow_url_fopen musst du auch ggf ein bischen aufpassen. es kommt vor das ein cms darüber einen versioncheck durchführt...ohne den aufruf gibt es keinen check oder sogar fehlermeldungen.
last but not least könntest du php als hardened-php laufen lassen. vorausgesetzt ist ein cms das damit klarkommt...andernfall kämpft du erstmal 3 tage mit fehlermeldungen bevor du merkst, das es nicht klappt.
da ein cms ziemlich viele befehle in ziemlich vielen varianten entgegen nimmt, könntest du die mod_security regeln von got root holen
http://www.gotroot.com/tiki-index.php?p ... rity+rules
falls du debian sarge auf deinem server laufen hast solltest du dir vielleicht das hier eintragen
deb http://etc.inittab.org/~agi/debian/liba ... rity/sarge ./
andernfalls würdest du die version 1.8.7 installieren und die kommt nicht mit allen regeln klar da sich die syntax im laufe der versionen bis aktuell 1.9.4 geändert hat.
mit allow_url_fopen musst du auch ggf ein bischen aufpassen. es kommt vor das ein cms darüber einen versioncheck durchführt...ohne den aufruf gibt es keinen check oder sogar fehlermeldungen.
last but not least könntest du php als hardened-php laufen lassen. vorausgesetzt ist ein cms das damit klarkommt...andernfall kämpft du erstmal 3 tage mit fehlermeldungen bevor du merkst, das es nicht klappt.