Verständnisfrage mod_php

Apache, Lighttpd, nginx, Cherokee
AWOHille
Posts: 271
Joined: 2011-09-05 09:00

Verständnisfrage mod_php

Post by AWOHille » 2012-02-19 23:41

Hallo,

bietet mod_php, aus Sicht der Sicherheit, irgend welche Nachteile bzw. Sicherheitsrisiken? Ich gehe davon aus, das der Server nur einen Benutzer hat, der Zugang zur Maschine hat (FTP, SSH). Oder ist es in dieser Konfiguration sinnvoller, z.B. php als fastcgi zu starten?

remote_mind
Posts: 12
Joined: 2012-01-23 11:18
Location: Rheine

Re: Verständnisfrage mod_php

Post by remote_mind » 2012-02-20 12:14

Wenn Du die Features vom Apache nicht brauchst nimmt man eher einen schlankeren Webserver (z.B. nginx) plus fastcgi oder noch besser php-fpm. (http://php-fpm.org/). Weniger Code (nginx statt apache) bedeutet auch immer weniger potentielle Exploitangriffsfläche.

Zudem ist die Kombination gegenüber mod_php einiges flotter.

schöne Grüße,
Nils

User avatar
rudelgurke
Systemtester
Systemtester
Posts: 408
Joined: 2008-03-12 05:36

Re: Verständnisfrage mod_php

Post by rudelgurke » 2012-02-20 13:26

Das Ganze hängt vom Einsatzzweck ab. Sobald mehrere Domains zum Einsatz kommen sollen (bzw. Subdomains) sollte FastCGI + Suexec eingesetzt werden damit pro Domain bzw. Subdomain ein PHP Pseudo User existiert. Ein weiterer Vorteil ist dass, wenn PHP mal klemmt, die FastCGI Prozesse hängen und zumindest der Rest weiterläuft.
Wenn nur eine Domain läuft und vielleicht nur eine PHP Anwendung kann man auch mod_php nehmen - hier vielleicht einfach testen was performanter ist.

AWOHille
Posts: 271
Joined: 2011-09-05 09:00

Re: Verständnisfrage mod_php

Post by AWOHille » 2012-02-20 16:03

OK, danke für die Antworten.
Wenn ich das richtig verstanden habe, gibt es Sicherheitstechnisch keine Bedenken.

User avatar
rudelgurke
Systemtester
Systemtester
Posts: 408
Joined: 2008-03-12 05:36

Re: Verständnisfrage mod_php

Post by rudelgurke » 2012-02-20 20:42

Wie gesagt - wenn FastCGI + Suexec zum Einsatz kommen wäre - theoretisch und mit richtigen Berechtigungen - immer nur 1 Domain betroffen.
Wenn es wie kürzlich Lücken in PHP selbst gibt macht FastCGI oder mod_php keinen Unterschied, die Frage bleibt dann eher ob mod_php den ganzen Webserver mit in die Tiefe reißt oder FastCGI Prozesse.

homebox
Posts: 9
Joined: 2008-05-21 14:37

Re: Verständnisfrage mod_php

Post by homebox » 2012-02-20 20:53

Ich würd fast sagen, dass es auch bei mehreren Benutzern mit mod_php keine Probleme gibt. Solange open_basedir korrekt gesetzt ist, kann man doch auch nicht auf andere webs zugreifen, obwohl es nach Dateisystem-Rechten möglich wäre. Oder irre ich mich da?

User avatar
rudelgurke
Systemtester
Systemtester
Posts: 408
Joined: 2008-03-12 05:36

Re: Verständnisfrage mod_php

Post by rudelgurke » 2012-02-20 22:04

Sicher - allerdings gab es Möglichkeiten open_basedir zu umgehen (per curl z. Bsp.) und dann hat man ein gewisses Problem, schließlich sind dann alle Seiten betroffen.
Nicht zu vergessen dass, sollte PHP einmal hängen (Endlosschleife, Bibliotheken und ähnliches) immer der gesamte Prozess betroffen ist.

Und - zumindest für Apache - mit FastCGI gibt es beim Einsatz von worker als mpm keine Probleme.

Siehe auch im Wiki: http://www.rootforum.org/wiki/Vergleich ... nd_FastCGI
Last edited by rudelgurke on 2012-02-21 01:53, edited 1 time in total.

homebox
Posts: 9
Joined: 2008-05-21 14:37

Re: Verständnisfrage mod_php

Post by homebox » 2012-02-22 21:00

Ich dachte, die curl-Lücke wäre bei aktuellen PHP-Versionen behoben!?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11599
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Verständnisfrage mod_php

Post by Joe User » 2012-02-23 16:03

Diese Lücke betrifft nicht nur cURL und lässt sich auch nicht endgültig schliessen. Deshalb sind open_basedir und safe_mode auch keine Sicherheitsfunktionen.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.