Verständnisfrage mod_php

[AWOHille]

Hallo,

bietet mod_php, aus Sicht der Sicherheit, irgend welche Nachteile bzw. Sicherheitsrisiken? Ich gehe davon aus, das der Server nur einen Benutzer hat, der Zugang zur Maschine hat (FTP, SSH). Oder ist es in dieser Konfiguration sinnvoller, z.B. php als fastcgi zu starten?

[remote_mind]

Wenn Du die Features vom Apache nicht brauchst nimmt man eher einen schlankeren Webserver (z.B. nginx) plus fastcgi oder noch besser php-fpm. (http://php-fpm.org/). Weniger Code (nginx statt apache) bedeutet auch immer weniger potentielle Exploitangriffsfläche.

Zudem ist die Kombination gegenüber mod_php einiges flotter.

schöne Grüße,
Nils

[rudelgurke]

Das Ganze hängt vom Einsatzzweck ab. Sobald mehrere Domains zum Einsatz kommen sollen (bzw. Subdomains) sollte FastCGI + Suexec eingesetzt werden damit pro Domain bzw. Subdomain ein PHP Pseudo User existiert. Ein weiterer Vorteil ist dass, wenn PHP mal klemmt, die FastCGI Prozesse hängen und zumindest der Rest weiterläuft.
Wenn nur eine Domain läuft und vielleicht nur eine PHP Anwendung kann man auch mod_php nehmen - hier vielleicht einfach testen was performanter ist.

[AWOHille]

OK, danke für die Antworten.
Wenn ich das richtig verstanden habe, gibt es Sicherheitstechnisch keine Bedenken.

[rudelgurke]

Wie gesagt - wenn FastCGI + Suexec zum Einsatz kommen wäre - theoretisch und mit richtigen Berechtigungen - immer nur 1 Domain betroffen.
Wenn es wie kürzlich Lücken in PHP selbst gibt macht FastCGI oder mod_php keinen Unterschied, die Frage bleibt dann eher ob mod_php den ganzen Webserver mit in die Tiefe reißt oder FastCGI Prozesse.

[homebox]

Ich würd fast sagen, dass es auch bei mehreren Benutzern mit mod_php keine Probleme gibt. Solange open_basedir korrekt gesetzt ist, kann man doch auch nicht auf andere webs zugreifen, obwohl es nach Dateisystem-Rechten möglich wäre. Oder irre ich mich da?

[rudelgurke]

Sicher - allerdings gab es Möglichkeiten open_basedir zu umgehen (per curl z. Bsp.) und dann hat man ein gewisses Problem, schließlich sind dann alle Seiten betroffen.
Nicht zu vergessen dass, sollte PHP einmal hängen (Endlosschleife, Bibliotheken und ähnliches) immer der gesamte Prozess betroffen ist.

Und - zumindest für Apache - mit FastCGI gibt es beim Einsatz von worker als mpm keine Probleme.

Siehe auch im Wiki: http://www.rootforum.org/wiki/Vergleich ... nd_FastCGI

[homebox]

Ich dachte, die curl-Lücke wäre bei aktuellen PHP-Versionen behoben!?

[Joe User]

Diese Lücke betrifft nicht nur cURL und lässt sich auch nicht endgültig schliessen. Deshalb sind open_basedir und safe_mode auch keine Sicherheitsfunktionen.