Hallo,
bietet mod_php, aus Sicht der Sicherheit, irgend welche Nachteile bzw. Sicherheitsrisiken? Ich gehe davon aus, das der Server nur einen Benutzer hat, der Zugang zur Maschine hat (FTP, SSH). Oder ist es in dieser Konfiguration sinnvoller, z.B. php als fastcgi zu starten?
Verständnisfrage mod_php
-
- Posts: 11
- Joined: 2012-01-23 11:18
- Location: Rheine
Re: Verständnisfrage mod_php
Wenn Du die Features vom Apache nicht brauchst nimmt man eher einen schlankeren Webserver (z.B. nginx) plus fastcgi oder noch besser php-fpm. (http://php-fpm.org/). Weniger Code (nginx statt apache) bedeutet auch immer weniger potentielle Exploitangriffsfläche.
Zudem ist die Kombination gegenüber mod_php einiges flotter.
schöne Grüße,
Nils
Zudem ist die Kombination gegenüber mod_php einiges flotter.
schöne Grüße,
Nils
-
- Posts: 408
- Joined: 2008-03-12 05:36
Re: Verständnisfrage mod_php
Das Ganze hängt vom Einsatzzweck ab. Sobald mehrere Domains zum Einsatz kommen sollen (bzw. Subdomains) sollte FastCGI + Suexec eingesetzt werden damit pro Domain bzw. Subdomain ein PHP Pseudo User existiert. Ein weiterer Vorteil ist dass, wenn PHP mal klemmt, die FastCGI Prozesse hängen und zumindest der Rest weiterläuft.
Wenn nur eine Domain läuft und vielleicht nur eine PHP Anwendung kann man auch mod_php nehmen - hier vielleicht einfach testen was performanter ist.
Wenn nur eine Domain läuft und vielleicht nur eine PHP Anwendung kann man auch mod_php nehmen - hier vielleicht einfach testen was performanter ist.
-
- Posts: 274
- Joined: 2011-09-05 09:00
Re: Verständnisfrage mod_php
OK, danke für die Antworten.
Wenn ich das richtig verstanden habe, gibt es Sicherheitstechnisch keine Bedenken.
Wenn ich das richtig verstanden habe, gibt es Sicherheitstechnisch keine Bedenken.
-
- Posts: 408
- Joined: 2008-03-12 05:36
Re: Verständnisfrage mod_php
Wie gesagt - wenn FastCGI + Suexec zum Einsatz kommen wäre - theoretisch und mit richtigen Berechtigungen - immer nur 1 Domain betroffen.
Wenn es wie kürzlich Lücken in PHP selbst gibt macht FastCGI oder mod_php keinen Unterschied, die Frage bleibt dann eher ob mod_php den ganzen Webserver mit in die Tiefe reißt oder FastCGI Prozesse.
Wenn es wie kürzlich Lücken in PHP selbst gibt macht FastCGI oder mod_php keinen Unterschied, die Frage bleibt dann eher ob mod_php den ganzen Webserver mit in die Tiefe reißt oder FastCGI Prozesse.
-
- Posts: 9
- Joined: 2008-05-21 14:37
Re: Verständnisfrage mod_php
Ich würd fast sagen, dass es auch bei mehreren Benutzern mit mod_php keine Probleme gibt. Solange open_basedir korrekt gesetzt ist, kann man doch auch nicht auf andere webs zugreifen, obwohl es nach Dateisystem-Rechten möglich wäre. Oder irre ich mich da?
-
- Posts: 408
- Joined: 2008-03-12 05:36
Re: Verständnisfrage mod_php
Sicher - allerdings gab es Möglichkeiten open_basedir zu umgehen (per curl z. Bsp.) und dann hat man ein gewisses Problem, schließlich sind dann alle Seiten betroffen.
Nicht zu vergessen dass, sollte PHP einmal hängen (Endlosschleife, Bibliotheken und ähnliches) immer der gesamte Prozess betroffen ist.
Und - zumindest für Apache - mit FastCGI gibt es beim Einsatz von worker als mpm keine Probleme.
Siehe auch im Wiki: http://www.rootforum.org/wiki/Vergleich ... nd_FastCGI
Nicht zu vergessen dass, sollte PHP einmal hängen (Endlosschleife, Bibliotheken und ähnliches) immer der gesamte Prozess betroffen ist.
Und - zumindest für Apache - mit FastCGI gibt es beim Einsatz von worker als mpm keine Probleme.
Siehe auch im Wiki: http://www.rootforum.org/wiki/Vergleich ... nd_FastCGI
Last edited by rudelgurke on 2012-02-21 01:53, edited 1 time in total.
-
- Posts: 9
- Joined: 2008-05-21 14:37
Re: Verständnisfrage mod_php
Ich dachte, die curl-Lücke wäre bei aktuellen PHP-Versionen behoben!?
-
- Project Manager
- Posts: 11179
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: Verständnisfrage mod_php
Diese Lücke betrifft nicht nur cURL und lässt sich auch nicht endgültig schliessen. Deshalb sind open_basedir und safe_mode auch keine Sicherheitsfunktionen.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.