RootForum Community

Hat jemand von euch Hardened-PHP bzw. bereits den Nachfolger Suhosin im Einsatz? Die Informationen auf der Homepage klingen ja recht überzeugend.. Das einzige, was mich noch davon abhält, ist der drohende Performance-Verlust von knapp 10%. Hat also jemand bereits Erfahrungen damit im produktiven Einsatz? Macht es Sinn? Oder reicht mod_security? Oder am besten beides?

Das RootForum läuft seit über einem Jahr produktiv mit hardened-php und eventuell noch in diesem Jahr mit suhosin ;) Der Performanceverlust ist beim RF kaum spürbar, da das RF zu klein ist. Für Apache-User macht die Kombination aus hardened-php/suhosin und mod_security durchaus Sinn, sofern man mit dem entstehenden Perormanceverlust leben möchte (Security ist wichtiger als Performance!)...

HTH

Na das klingt doch gut. Was für ein Performance-Verlust ist denn in der Regel im Zusammenhang mit mod_security zu erwarten? Dass Sicherheit wichtiger ist als Performance, sehe ich (mittlerweile) ganz genauso!

Je nach Umfang und Popularität der Website(s) und der verwendeten mod_security-Rules würde ich 5-10% Performanceverlust einkalkulieren.

und der verwendeten mod_security-Rules

Ich hatte nach dem ersten Installieren von mod_security mal testweise die Rules von gotroot aktiviert. Darauf wurde der Server extrem langsam, war kaum noch erreichbar. Mit dem kleinen Regelsatz, den ich jetzt verwende, ist er nicht spürbar langsamer.

Gruß von Franki.

also ich hab suhosin erst kurz im einsatz...hab mod_security testweise ausgeschaltet. mod-security war jedenfalls eine deutliche bremse wenn man mit gotroot befehlssatz unterwegs ist.

im suhosin forum kritisiert der dev das mod-security zwar in den meisten fällen eine gute firewall ist, aber dennoch einige lücken beinhalten kann und in den meisten fällen beinhaltet durch die man trotzdem seinen code ausführen kann. in zukünftigen versionen soll suhosin auch reg_ext filter einsetzen können, was mod-security mehr oder weniger obsolete macht

EDIT: wie sieht es aus...wenn man nicht den riesen und langsamen regelsatz von gotroot nehmen will, gibt es andere alternativen die öfter mal aktualisiert werden? selber pflegen bekomm ich sicher nicht hin, ehrlich gesagt

hatte auch das problem dass mit dem vollen regelsatz von gotroot der indianer binnen minuten nicht mehr erreichbar war.

habe dann die "badips" und "blacklist" rausgenommen und nur die regeln als solches belassen. läuft seither ohne probleme.

mal schaun wie es mit der 2.0 wird. da ich kein "early adopter" bin, warte ich die betaphase der regeln mal ab. rbl-based sollten die regeln deutlich weniger last verursachen (oder auch nicht :) )

lg