PHP richtig konfigurieren

[cirox]

PS: [EDIT] bitte löschen.

gruß cirox

[guwapo]

ist open_basedir mit der Absicht leer gelassen (aber nicht auskommentiert) damit man dort sein Pfad eintragen soll/muss/kann, oder soll der generell leer bleiben.

War eigentlich der Meinung, das open_basedir eine ziehmlich wichtige (vor allem wenn safe_mode = Off) Sicherheitseinstellung ist.

[daemotron]

Abhängig davon, ob Du pro virtuellem Host eine eigene php.ini hast oder nicht, macht es Sinn, den Wert direkt in der php.ini zu setzen - oder eben nicht. Bei einer php.ini für mehrere virtuelle Hosts wirst Du das innerhalb der Webserver-Konfiguration machen wollen:

Code: Select all

php_admin_value open_basedir=/dein/verzeichnis/des/vhost

[guwapo]

Abhängig davon, ob Du pro virtuellem Host eine eigene php.ini hast oder nicht, macht es Sinn, den Wert direkt in der php.ini zu setzen - oder eben nicht. Bei einer php.ini für mehrere virtuelle Hosts wirst Du das innerhalb der Webserver-Konfiguration machen wollen:

Code: Select all

php_admin_value open_basedir=/dein/verzeichnis/des/vhost

ja das sowieso. Ging mir jetzt eigentlich nur um den Beispielconfig, der hier im ersten Beitrag gepostet wurde.

[Joe User]

ja das sowieso. Ging mir jetzt eigentlich nur um den Beispielconfig, der hier im ersten Beitrag gepostet wurde.

Die Option ist absichtlich so gesetzt, siehe jfreund. Desweiteren wurden Safemode und Openbasedir endlich aus PHP-HEAD entfernt und stehen ab der nächsten Major-Release nicht mehr zur Verfügung. Wer noch auf diese Optionen setzt/vertraut, sollte sich langsam grundsätzliche Gedanken zu seinem Sicherheitskonzept machen...

[guwapo]

ich dachte eigentlich nur das safemode als "unsicher" gilt. Aber worauf sollte man dann sicherheitstechnisch setzen?
Wenn beides wegfällt, was wird PHP offiziell sicherheitstechnisch überhaupt noch anbieten?

Ich hoffe ich muss mich jetzt nicht hinsetzen und eine Chroot/Jail Umgebung aufbauen.

[corni]

Hi,
ein paar Kommentare zu der PHP-INI:

Code: Select all

open_basedir = 

würde ich auf /var/www/html setzen, es heißt ja, man muss die Pfade manuall noch anpassen...

Code: Select all

disable_functions = show_source, readfile, escapeshellcmd, escapeshellarg 

Sinn?

Code: Select all

mysql.allow_persistent = Off 

Wenn man einen Server hat, auf dem web und MySQL-Server laufen, würde ich das auf on stellen, und mysql.max_persistent = -1 auf etwas höheres. Das gleiche giilt natürlich für die anderen DBMS.

Code: Select all

max_execution_time = 300
max_input_time = 600 

Jeweils auf 100 Sekunden(oder niedriger), wenn man nicht gerade große Dateien durch ne Modemverbindung uploaden muss, sonst ist das imho eine DoS-Gefahr(http://www.php-security.org/MOPB/MOPB-02-2007.html , http://www.php-security.org/MOPB/MOPB-03-2007.html)
Desweiteren:

Desweiteren wurden Safemode und Openbasedir endlich aus PHP-HEAD entfernt und stehen ab der nächsten Major-Release nicht mehr zur Verfügung.

Das ist einfach falsch :P.

- Removed old legacy:
. "register_globals" support. (Pierre)
. "register_long_arrays" ini option. (Dmitry)
. "safe_mode" support. (Ilia, Andi)
. "allow_call_time_pass_reference", added E_STRICT error message. (Dmitry)
. session_register(), session_unregister() and session_is_registered()
(needed only with "register_globals=On").
. "magic_quotes_gpc", "magic_quotes_runtime" and "magic_quotes_sybase" ini
options. (Pierre)
. Changed get_magic_quotes_gpc(), get_magic_quotes_runtime to always return
false and set_magic_quotes_runtime() to raise an E_CORE_ERROR.

Desweiteren:
Rasmus hat hier u.a. geschrieben:

5. Remove safe_mode and focus on open_basedir

Sonstr hätte der Hackergeplagte Shared-PHP-Hoster ja gar keine Möglichkeit mehr, sich Skriptkiddies vom Leibe zu halten :D
btw:

BeitragVerfasst am: 22. 01. 2007 - 10:03 Titel:
Abhängig davon, ob Du pro virtuellem Host eine eigene php.ini hast oder nicht, macht es Sinn, den Wert direkt in der php.ini zu setzen - oder eben nicht. Bei einer php.ini für mehrere virtuelle Hosts wirst Du das innerhalb der Webserver-Konfiguration machen wollen:

Code: Select all

php_admin_value open_basedir=/dein/verzeichnis/des/vhost

ist PHP5.2.0 kein Freund:(, siehe http://securityreason.com/achievement_securityalert/42
MfG
Corni

[Anonymous]

Bei Verwendung von php5-cgi und suPHP (mit open_basedir= no value + safe_mode= off), webuser's koennen mit PHP-Shell Server directory/files sehen aber nicht editieren oder rein schauen bei files.

Kann man so was verhindern?
system:
Debian Lenny

[Roger Wilco]

Du koenntest die PHP-Interpreter jeweils in eine chroot-Umgebung packen. SuPHP bietet dafuer eine Option an. Allerdings benoetigst du dann pro Benutzer (bzw. pro PHP-Interpreter) eine komplette chroot-Umgebung mit allen Bibliotheken.

Das laesst sich zwar schoen skripten, benoetigt aber auch entsprechend mehr Speicher auf der Festplatte und bedeutet einen erhoehten Wartungsaufwand, um die chroot-Umgebungen aktuell zu halten.

[Anonymous]

Danke @Roger Wilco, das heisst muss ich was anderes verwenden wie z.B mod_fcgid + suexec damit jede User-PHP Interpreter als eigener Prozess laufen kann.

[Roger Wilco]

das heisst muss ich was anderes verwenden wie z.B mod_fcgid + suexec damit jede User-PHP Interpreter als eigener Prozess laufen kann.

Du hast geschrieben, dass du bereits SuPHP benutzt. Damit werden die PHP-Interpreter ja bereits im jeweils angegebenen Benutzerkontext ausgefuehrt. mod_fcgid (oder mod_fastcgi) und SuExec unterscheiden sich lediglich dadurch, dass die PHP-Interpreter mehrere Requests ueberleben und nicht jedesmal neu gestartet werden muessen. Bezueglich der Rechteseparierung nehmen sich SuPHP und SuExec nicht viel, wobei ersteres angenehmer zu konfigurieren ist und letzteres auch mit mod_fcgid/mod_fastcgi zusammenarbeitet.

[Anonymous]

Vielen Dank fuer diese infos,
Aber koennte jetzt als Benutzer eigene php.ini in eigens Homeverzeichnis haben?

[Roger Wilco]

Ja, eine eigene php.ini pro Benutzer ist auch mit SuPHP möglich. Du suchst SuPHP_ConfigPath.

[Anonymous]

Vielen Dank.

[Joe User]

Updated to PHP 5.3

[Joe User]

Der erste Post wurde überarbeitet und aktualisiert.