wie kritisch ist mod_php5 wirklich?

[bernostern]

Hallo,

man liest immer wieder, dass mod-php(4/5) sicherheitstechnisch nicht das gelbe vom Ei ist, da PHP Skripte dem Apache User gehören. Wie "groß" ist die Gefahr wirklich? Angenommen man hat einen Linux-Vserver mit einem einzigen Apache-Host der ein CMS (Typo3) zur Verfügung stellt. Kann man in so einem Fall nicht auf mod-php5 setzen, um die Performance Vorteile und die einfachere Konfiguration/Wartbarkeit auszunutzen?


Danke für eure Meinung,
Bern

[Joe User]

Wenn man nur ein einzelnes Projekt hat, spricht nichts gegen mod_php. Erst wenn man mehrere Projekte voneinander getrennt betreiben will/muss, ist spätestens mit PHP6 Feierabend, da mit PHP6 die ohnehin unsicheren safe_mod und open_basedir endgültig wegfallen.

[Roger Wilco]

da mit PHP6 die ohnehin unsicheren safe_mod und open_basedir endgültig wegfallen.

Die open_basedir restrictions wird es auch weiterhin in PHP 6 geben (Quelle). Lediglich der (halbherzig implementierte) Safe-Mode fällt weg.

[bernostern]

Hi,

danke für eure Meinung!

Wie sieht es dann mit den Verzeichnis/Dateirechten aus? Normalerweise, mit zB suPHP, muss ja die Datei dem User gehören der zB eine PHP Datei ausführen möchte.
Wie ist es mit mod-php? Sollen die Dateien root gehören und für "other" lesbar sein oder sollen die Rechte für world entzogen werden und alle Dateien/Verz. der Gruppe (oder sogar dem User) www-data gehören?

Danke und schöne Grüße,
Bern

[rootsvr]

Hast Du nur einen User sollten die Dateien dem Webserver (www-data) gehören. Root ist eher schlecht, ggf willst Du mit scripten ja mal eine Datei ändern, dann müßtest Du world rechte zum ändern vergeben --> unschön. Hast Du mehrere User gehören die Dateien idR dem jeweiligen User.

mod-php läuft auch als www-data also einfach html files uns php Zeugs www-data:www-data schenken und 770/660 o.ä. vergeben.

[EdRoxter]

Wenn das halbwegs durchkonzipiert ist, kannst du auch einfach die Dateien jedes x-beliebigen Users auf 644 chmodden, das sollte mod_php völlig reichen.

suPHP und Konsorten bieten zwar tatsächlich einen Sicherheitszuwachs. So müssen zum Beispiel Verzeichnisse, die mit mod_php schreibbar sein sollen, für World schreibbar sein (sie gehören bspw. User hanswurst, www-data muss aber Schreibrechte haben) - es sei denn, du benutzt ACLs, was allerdings viel und IMHO unangemessene Handarbeit wäre... Aber für den "Hausgebrauch" oder je nachdem sogar kleinere Webhosting-Projekte ist es nicht zwingend nötig, mod_php rauszuschmeißen.
Wenn du allerdings ein frisches LAMP aufsetzen willst, dann setz es einfach von vorne herein mit suPHP o.ä. auf.

Normalerweise, mit zB suPHP, muss ja die Datei dem User gehören der zB eine PHP Datei ausführen möchte.

Umgekehrt: Das Script wird als der User ausgeführt, dem die Datei gehört.

[Roger Wilco]

Normalerweise, mit zB suPHP, muss ja die Datei dem User gehören der zB eine PHP Datei ausführen möchte.

Umgekehrt: Das Script wird als der User ausgeführt, dem die Datei gehört.

Oder beides gleichzeitig (die Datei muss dem Benutzer gehören, unter dem sie ausgeführt werden soll). Es gibt 3 Modi diesbezüglich. ;)

[EdRoxter]

Oh, stimmt, da war was. ;) Mir ist meine genannte Anwendungsform aus meiner Arbeit mit Confixx am Geläufigsten, daher hab ich mich um die anderen nie gekümmert.

Ansonsten bleibt's aber bei meiner Aussage: Bei überschaubaren Projekten tut mod_php einen brauchbaren Dienst.

[djcrackman]

http://www.rootforum.org/forum/viewtopi ... 18&start=0