Hardened-PHP / Suhosin
Hardened-PHP / Suhosin
Hat jemand von euch Hardened-PHP bzw. bereits den Nachfolger Suhosin im Einsatz? Die Informationen auf der Homepage klingen ja recht überzeugend.. Das einzige, was mich noch davon abhält, ist der drohende Performance-Verlust von knapp 10%. Hat also jemand bereits Erfahrungen damit im produktiven Einsatz? Macht es Sinn? Oder reicht mod_security? Oder am besten beides?
Re: Hardened-PHP / Suhosin
Das RootForum läuft seit über einem Jahr produktiv mit hardened-php und eventuell noch in diesem Jahr mit suhosin ;) Der Performanceverlust ist beim RF kaum spürbar, da das RF zu klein ist. Für Apache-User macht die Kombination aus hardened-php/suhosin und mod_security durchaus Sinn, sofern man mit dem entstehenden Perormanceverlust leben möchte (Security ist wichtiger als Performance!)...
HTH
HTH
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: Hardened-PHP / Suhosin
Na das klingt doch gut. Was für ein Performance-Verlust ist denn in der Regel im Zusammenhang mit mod_security zu erwarten? Dass Sicherheit wichtiger ist als Performance, sehe ich (mittlerweile) ganz genauso!
Re: Hardened-PHP / Suhosin
Je nach Umfang und Popularität der Website(s) und der verwendeten mod_security-Rules würde ich 5-10% Performanceverlust einkalkulieren.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: Hardened-PHP / Suhosin
Ich hatte nach dem ersten Installieren von mod_security mal testweise die Rules von gotroot aktiviert. Darauf wurde der Server extrem langsam, war kaum noch erreichbar. Mit dem kleinen Regelsatz, den ich jetzt verwende, ist er nicht spürbar langsamer.und der verwendeten mod_security-Rules
Gruß von Franki.
Re: Hardened-PHP / Suhosin
also ich hab suhosin erst kurz im einsatz...hab mod_security testweise ausgeschaltet. mod-security war jedenfalls eine deutliche bremse wenn man mit gotroot befehlssatz unterwegs ist.
im suhosin forum kritisiert der dev das mod-security zwar in den meisten fällen eine gute firewall ist, aber dennoch einige lücken beinhalten kann und in den meisten fällen beinhaltet durch die man trotzdem seinen code ausführen kann. in zukünftigen versionen soll suhosin auch reg_ext filter einsetzen können, was mod-security mehr oder weniger obsolete macht
EDIT: wie sieht es aus...wenn man nicht den riesen und langsamen regelsatz von gotroot nehmen will, gibt es andere alternativen die öfter mal aktualisiert werden? selber pflegen bekomm ich sicher nicht hin, ehrlich gesagt
im suhosin forum kritisiert der dev das mod-security zwar in den meisten fällen eine gute firewall ist, aber dennoch einige lücken beinhalten kann und in den meisten fällen beinhaltet durch die man trotzdem seinen code ausführen kann. in zukünftigen versionen soll suhosin auch reg_ext filter einsetzen können, was mod-security mehr oder weniger obsolete macht
EDIT: wie sieht es aus...wenn man nicht den riesen und langsamen regelsatz von gotroot nehmen will, gibt es andere alternativen die öfter mal aktualisiert werden? selber pflegen bekomm ich sicher nicht hin, ehrlich gesagt
-
Anonymous
Re: Hardened-PHP / Suhosin
hatte auch das problem dass mit dem vollen regelsatz von gotroot der indianer binnen minuten nicht mehr erreichbar war.
habe dann die "badips" und "blacklist" rausgenommen und nur die regeln als solches belassen. läuft seither ohne probleme.
mal schaun wie es mit der 2.0 wird. da ich kein "early adopter" bin, warte ich die betaphase der regeln mal ab. rbl-based sollten die regeln deutlich weniger last verursachen (oder auch nicht :) )
lg
habe dann die "badips" und "blacklist" rausgenommen und nur die regeln als solches belassen. läuft seither ohne probleme.
mal schaun wie es mit der 2.0 wird. da ich kein "early adopter" bin, warte ich die betaphase der regeln mal ab. rbl-based sollten die regeln deutlich weniger last verursachen (oder auch nicht :) )
lg