Page 1 of 1
php und suhosin - Debian
Posted: 2009-07-10 18:28
by tomotom
Kann mir mal einer erklären wie das jetzt mit den php Pakaten und der suhosin Konfiguration geht?
Folgende Pakete sind installiert:
Code: Select all
h1:/# locate php.ini
/etc/php5/apache2/php.ini
/etc/php5/cgi/php.ini
/etc/php5/cli/php.ini
Es gibt dort 3 x php.ini. Jeweils eine für eine php version. Doch in keiner sind die Direktiven für suhosin sichtbar, per default. Es wird mit phpinfo() folgendes sichtbar
This server is protected with the Suhosin Patch 0.9.7
Copyright (c) 2006 Hardened-PHP Project
Aber es müssten doch die suhosin Direktiven auch sichtbar sein.
Wie und wo wird nun suhosin für die einzelnen php versionen (cli,cgi, mod-php) konfiguriert bzw. ein und aus geschaltet und warum sind die Direktiven per default nicht da?
Re: php und suhosin - Debian
Posted: 2009-07-10 18:36
by EdRoxter
Es gibt einmal den Suhosin-Patch, der ist bei dir installiert und nicht weiter konfigurierbar bis auf die Logging-Optionen, deren default-Werte aber ganz in Ordnung sind.
Dann gibt es noch das Suhosin-Modul, das du zusätzlich installieren musst. Die Installation schreibt aber ja nicht automatisch die Konfigurationsparameter in die Config, das musst du schon händisch machen.
In deinem Fall müsstest du dich also mal bei
http://www.hardened-php.net/suhosin/configuration.html umsehen und schauen, was davon du gebrauchen kannst bzw. beeinflussen willst.
In deinem Fall musst du's dann in die /etc/php5/apache2/php.ini schreiben (ich denke, du nutzt mod_php), da die /etc/php5/cli/php.ini ja offensichtlich fürs CLI, also Command Line Interface (PHP von der Konsole aus aufrufen) zuständig ist und entsprechend /etc/php5/cgi/php.ini für den Fall, dass du PHP via CGI aufrufst.
Je nach Distribution (bei Debian z.B.) wird aber standardmäßig noch ein Ordner /etc/php5/conf.d angelegt, in dem Konfigurationsschnipsel für einzeln installierte Module (etwa via apt) abgelegt sind. Da wäre es der Übersichtlichkeit sinnvoller, das zu nutzen. Ist aber Geschmackssache, es funktioniert beides.
Re: php und suhosin - Debian
Posted: 2009-07-10 20:12
by tomotom
Das heißt also, das der suhoin patch, welcher als default bei den php Paketen dabei ist, fehlerfrei läuft, ohne weitere zusätzliche Installationen? Wenn man jedoch Einschränkungen in php möchte muss die suhosin extension installiert werden. Sonst bleibt es mit dem suhisin patch beim Logging, ohne jegliche Restriktionen?
Re: php und suhosin - Debian
Posted: 2009-07-11 08:32
by EdRoxter
Doch, ein paar Dinge macht der Suhosin-Patch auch.
hardened-php.net wrote:The first part is a small patch against the PHP core, that implements a few low-level protections against bufferoverflows or format string vulnerabilities and the second part is a powerful PHP extension that implements all the other protections.
Lies dir die Seite doch einfach durch, da steht alles, was du wissen musst.
Re: php und suhosin - Debian
Posted: 2009-07-11 10:30
by tomotom
Mir geht es um die Frage, ob es nur mit dem Patch
fehlerfrei läuft. Denn wenn es Alternativen sind (Patch oder extention), dann verstehen ich nicht diese logs: PHP
Startup: Unable to load dynamic library '/usr/lib/php5/20060613+lfs/suhosin.so'
Re: php und suhosin - Debian
Posted: 2009-07-11 11:23
by Roger Wilco
tomotom wrote:Mir geht es um die Frage, ob es nur mit dem Patch fehlerfrei läuft.
Dann lies doch einfach die Webseite zu Suhosin. Da steht nicht, dass der Patch und die Erweiterung Alternativen sind, sondern dass sie sich ergänzen...
Re: php und suhosin - Debian
Posted: 2009-07-11 13:46
by tomotom
Mit folgendes noch nicht klar:
1. Im debian paket mod-php ist der suhosin patch integriert. Der soll ein paar nicht weiter konfigurierbare suhosin Einstellungen per default beinhalten. Das debian php Paket ist also mit dem Patch kompiliert. Sind diese default Einstellungen aktiv, ohne das zusätzlich das suhosin Modul mit weiteren Einstellungen instlliert wird, die logmeldung "PHP Startup: Unable to load dynamic library '/usr/lib/php5/20060613+lfs/suhosin.so'" also belanglos ist?
2. Gehe ich richtig in der Annahme, dass wenn das suhosin Modul (suhosin.so) genutzt werden soll php nochmals kompiliert werden muss oder muss die suhosin.so nur an die richtige Stelle kopiert werden weil es bereits, laut logmeldung, für suhosin.so kompiliert ist, suhosin Direktiven in php.ini einfügen und fertig?
Re: php und suhosin - Debian
Posted: 2009-07-11 15:20
by EdRoxter
tomotom wrote:Mit folgendes noch nicht klar:
1. Im debian paket mod-php ist der suhosin patch integriert. Der soll ein paar nicht weiter konfigurierbare suhosin Einstellungen per default beinhalten. Das debian php Paket ist also mit dem Patch kompiliert. Sind diese default Einstellungen aktiv, ohne das zusätzlich das suhosin Modul mit weiteren Einstellungen instlliert wird, die logmeldung "PHP Startup: Unable to load dynamic library '/usr/lib/php5/20060613+lfs/suhosin.so'" also belanglos ist?
Ja, ist sie. Aber irgendwo in deiner Config steht, dass das Modul geladen werden soll, er findet es wohl nur nicht. Das ist nervig, aber unkritisch.
2. Gehe ich richtig in der Annahme, dass wenn das suhosin Modul (suhosin.so) genutzt werden soll php nochmals kompiliert werden muss oder muss die suhosin.so nur an die richtige Stelle kopiert werden weil es bereits, laut logmeldung, für suhosin.so kompiliert ist, suhosin Direktiven in php.ini einfügen und fertig?
Du musst es nur an die richtige Stelle kompilieren. Alternativ kannst du php5 aus dem dotdeb.org-Repository nutzen. Da gibt's immer jeweils die aktuelle PHP-Version nebst einem schönen Paket namens php5-suhosin, das du einfach nur installieren musst. Da ist dann alles korrekt gelinkt und kompiliert, du musst dich nur um die Konfiguration kümmern.
Re: php und suhosin - Debian
Posted: 2009-07-11 15:44
by rudelgurke
Für Lenny gibt es schon ein vorkompiliertes aktuelles Paket.
Re: php und suhosin - Debian
Posted: 2009-07-12 10:41
by danton
Und wenn die Extension nicht benötigt wird, dann einfach in der php.ini den Eintrag zum Laden der suhosin.so auskommentieren