php und suhosin - Debian

[tomotom]

Kann mir mal einer erklären wie das jetzt mit den php Pakaten und der suhosin Konfiguration geht?
Folgende Pakete sind installiert:

Code: Select all

h1:/# locate php.ini
/etc/php5/apache2/php.ini
/etc/php5/cgi/php.ini
/etc/php5/cli/php.ini

Es gibt dort 3 x php.ini. Jeweils eine für eine php version. Doch in keiner sind die Direktiven für suhosin sichtbar, per default. Es wird mit phpinfo() folgendes sichtbar

This server is protected with the Suhosin Patch 0.9.7
Copyright (c) 2006 Hardened-PHP Project

Aber es müssten doch die suhosin Direktiven auch sichtbar sein.

Wie und wo wird nun suhosin für die einzelnen php versionen (cli,cgi, mod-php) konfiguriert bzw. ein und aus geschaltet und warum sind die Direktiven per default nicht da?

[EdRoxter]

Es gibt einmal den Suhosin-Patch, der ist bei dir installiert und nicht weiter konfigurierbar bis auf die Logging-Optionen, deren default-Werte aber ganz in Ordnung sind.

Dann gibt es noch das Suhosin-Modul, das du zusätzlich installieren musst. Die Installation schreibt aber ja nicht automatisch die Konfigurationsparameter in die Config, das musst du schon händisch machen.

In deinem Fall müsstest du dich also mal bei http://www.hardened-php.net/suhosin/configuration.html umsehen und schauen, was davon du gebrauchen kannst bzw. beeinflussen willst.

In deinem Fall musst du's dann in die /etc/php5/apache2/php.ini schreiben (ich denke, du nutzt mod_php), da die /etc/php5/cli/php.ini ja offensichtlich fürs CLI, also Command Line Interface (PHP von der Konsole aus aufrufen) zuständig ist und entsprechend /etc/php5/cgi/php.ini für den Fall, dass du PHP via CGI aufrufst.

Je nach Distribution (bei Debian z.B.) wird aber standardmäßig noch ein Ordner /etc/php5/conf.d angelegt, in dem Konfigurationsschnipsel für einzeln installierte Module (etwa via apt) abgelegt sind. Da wäre es der Übersichtlichkeit sinnvoller, das zu nutzen. Ist aber Geschmackssache, es funktioniert beides.

[tomotom]

Das heißt also, das der suhoin patch, welcher als default bei den php Paketen dabei ist, fehlerfrei läuft, ohne weitere zusätzliche Installationen? Wenn man jedoch Einschränkungen in php möchte muss die suhosin extension installiert werden. Sonst bleibt es mit dem suhisin patch beim Logging, ohne jegliche Restriktionen?

[EdRoxter]

Doch, ein paar Dinge macht der Suhosin-Patch auch.

The first part is a small patch against the PHP core, that implements a few low-level protections against bufferoverflows or format string vulnerabilities and the second part is a powerful PHP extension that implements all the other protections.

Lies dir die Seite doch einfach durch, da steht alles, was du wissen musst.

[tomotom]

Mir geht es um die Frage, ob es nur mit dem Patch fehlerfrei läuft. Denn wenn es Alternativen sind (Patch oder extention), dann verstehen ich nicht diese logs: PHP

Startup: Unable to load dynamic library '/usr/lib/php5/20060613+lfs/suhosin.so'

[Roger Wilco]

Mir geht es um die Frage, ob es nur mit dem Patch fehlerfrei läuft.

Dann lies doch einfach die Webseite zu Suhosin. Da steht nicht, dass der Patch und die Erweiterung Alternativen sind, sondern dass sie sich ergänzen...

[tomotom]

Mit folgendes noch nicht klar:

1. Im debian paket mod-php ist der suhosin patch integriert. Der soll ein paar nicht weiter konfigurierbare suhosin Einstellungen per default beinhalten. Das debian php Paket ist also mit dem Patch kompiliert. Sind diese default Einstellungen aktiv, ohne das zusätzlich das suhosin Modul mit weiteren Einstellungen instlliert wird, die logmeldung "PHP Startup: Unable to load dynamic library '/usr/lib/php5/20060613+lfs/suhosin.so'" also belanglos ist?

2. Gehe ich richtig in der Annahme, dass wenn das suhosin Modul (suhosin.so) genutzt werden soll php nochmals kompiliert werden muss oder muss die suhosin.so nur an die richtige Stelle kopiert werden weil es bereits, laut logmeldung, für suhosin.so kompiliert ist, suhosin Direktiven in php.ini einfügen und fertig?

[EdRoxter]

Mit folgendes noch nicht klar:

1. Im debian paket mod-php ist der suhosin patch integriert. Der soll ein paar nicht weiter konfigurierbare suhosin Einstellungen per default beinhalten. Das debian php Paket ist also mit dem Patch kompiliert. Sind diese default Einstellungen aktiv, ohne das zusätzlich das suhosin Modul mit weiteren Einstellungen instlliert wird, die logmeldung "PHP Startup: Unable to load dynamic library '/usr/lib/php5/20060613+lfs/suhosin.so'" also belanglos ist?

Ja, ist sie. Aber irgendwo in deiner Config steht, dass das Modul geladen werden soll, er findet es wohl nur nicht. Das ist nervig, aber unkritisch.

2. Gehe ich richtig in der Annahme, dass wenn das suhosin Modul (suhosin.so) genutzt werden soll php nochmals kompiliert werden muss oder muss die suhosin.so nur an die richtige Stelle kopiert werden weil es bereits, laut logmeldung, für suhosin.so kompiliert ist, suhosin Direktiven in php.ini einfügen und fertig?

Du musst es nur an die richtige Stelle kompilieren. Alternativ kannst du php5 aus dem dotdeb.org-Repository nutzen. Da gibt's immer jeweils die aktuelle PHP-Version nebst einem schönen Paket namens php5-suhosin, das du einfach nur installieren musst. Da ist dann alles korrekt gelinkt und kompiliert, du musst dich nur um die Konfiguration kümmern.

[rudelgurke]

Für Lenny gibt es schon ein vorkompiliertes aktuelles Paket.

[danton]

Und wenn die Extension nicht benötigt wird, dann einfach in der php.ini den Eintrag zum Laden der suhosin.so auskommentieren