RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Apache und PHP - wie ist es sicher und möglich?

https://www.rootforum.org/forum/viewtopic.php?t=25462

Page 1 of 1

Apache und PHP - wie ist es sicher und möglich?

Posted: 2004-04-15 15:55
by pie-ai
Moin.
Ich frage mich gerade welche Lösung von folgenden am besten ist. Gedacht habe ich an Sicherheit, Performance und das es keine Einschränkungen für die Skripte gibt.

Weg A:
Apache 1.3.x (jeden vhost per suexec auf den jeweiligen user), php als modul (sollte dann ja auch unter dem user laufen, oder?) mit Pfadbeschränkungen bzw. im Safemode.

Weg B:
Apache 1.3.x (jeden vhost per suexec auf den jeweiligen user), php als cgi (Einschränkungen, Geschwindigkeit?)

Weg C:
Apache mit suphp für den jeweiligen vhost den user setzen. (Schlechte Erfahrung bei Skripten: header...)

Was denkt Ihr? Sind die Wege möglich und was habe ich nicht bedacht? Für die vhosts besteht jeweils ein realer user auf dem System, i.d.R. können die sich aber nicht einloggen.

MfG
Patrick Stricker

Re: Apache und PHP - wie ist es sicher und möglich?

Posted: 2004-04-15 16:01
by [monk]
Zu A:
Falsch. Mit einem Modul läuft es dann alles unter dem User, unter dem der Apache läuft.

Zu B:
man benötigt dann in der jeder datei in der ersten zeile: #!/usr/bin/php4, was ich als großen Nachteil ansehe. Abgesehen davon braucht jeder Webaccount dann die PHP-Binary AFAIK im cgi-bin. Es gibt zwar dafür wrapper wenn ich es noch im Kopf habe, aber ich halte von der ganzen geschichte nicht wirklich viel.

Zu b bin ich nicht gerade sehr informiert korrigiert mich bitte bei fehlern.

Zu C:
Find ich bisher die beste lösung. einzigster nachteil (wenn man es als nachteil sehen kann) ist die header geschichte die ab apache2 aber auch schon wieder draussen ist.


Bezüglich der Performance finde ich, spielt es keine allzugroße rolle. Zwar soll das Modul schneller sein als CGI aber das macht sich AFAIK nicht spürbar merkbar, wenn man keine millionen von usern hat

Re: Apache und PHP - wie ist es sicher und möglich?

Posted: 2004-04-15 16:47
by pie-ai
Zu A:
musste ich auch gerade feststellen.

Zu B:
irgendwie geht das ohne #!/bla/php, habe aber echt keinen blassen Schimmer.

Resultat:
Dann fliegt der Apache 1.3 heraus und ich nehme den 2er mit suphp und php als modul (safe_mode). Dann habe ich wieder die möglichkeit die user nur virtuell anzulegen (ftp schreibt mit der userid einfach).

Oder hat jemand einen besseren Vorschlag für das ganze?

Patrick

Re: Apache und PHP - wie ist es sicher und möglich?

Posted: 2004-04-15 17:15
by Joe User
http://httpd.apache.org/docs/suexec.html
http://httpd.apache.org/docs/howto/cgi.html
http://httpd.apache.org/docs/misc/perf-tuning.html
http://httpd.apache.org/docs/misc/security_tips.html
http://www.php.net/manual/en/installation.php
http://www.php.net/manual/en/security.index.php
All times are UTC+01:00
Page 1 of 1