PHP a bezpečnost na serveru (diskuse)

Přihlášení | Registrace

napište » Zprávičky

inzerujte » Pracovní nabídky

Google I/O 2025

dnes 18:11 | IT novinky

Dnes a zítra probíhá vývojářská konference Google I/O 2025. Sledovat lze na YouTube a na síti 𝕏 (#GoogleIO).

Ladislav Hagara | Komentářů: 0

Red Hat Summit 2025

dnes 15:22 | Komunita

V Bostonu probíhá konference Red Hat Summit 2025. Vybrané přednášky lze sledovat na YouTube. Dění lze sledovat na síti 𝕏 (#RHSummit).

Ladislav Hagara | Komentářů: 0

Red Hat Enterprise Linux 10

dnes 15:00 | Nová verze

Společnost Red Hat oficiálně oznámila vydání Red Hat Enterprise Linuxu 10. Vedle nových vlastností přináší také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 1

Home Assistant Community Day

dnes 12:22 | Pozvánky

Tuto sobotu 24. května se koná historicky první komunitní den projektu Home Assistant. Zváni jsou všichni příznivci, nadšenci a uživatelé tohoto projektu. Pro účast je potřebná registrace. Odkazy na akce v Praze a v Bratislavě.

jose17 | Komentářů: 0

Have I Been Pwned 2.0

dnes 04:44 | IT novinky

Troy Hunt představil Have I Been Pwned 2.0, tj. nový vylepšený web služby, kde si uživatelé mohou zkontrolovat, zda se jejich hesla a osobní údaje neobjevili v únicích dat a případně se nechat na další úniky upozorňovat.

Ladislav Hagara | Komentářů: 13

Microsoft představil textový editor Edit bežící v terminálu

včera 23:22 | Zajímavý software

Microsoft představil open source textový editor Edit bežící v terminálu. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 7

Windows Subsystem for Linux je nově open source

včera 22:22 | Zajímavý software

V Seattlu a také online probíhá konference Microsoft Build 2025. Microsoft představuje své novinky. Windows Subsystem for Linux je nově open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 0

Turris Sentinel – co přinesl rok 2024

včera 13:11 | Zajímavý článek

Z příspěvku Turris Sentinel – co přinesl rok 2024 na blogu CZ.NIC: "Za poslední rok (únor 2024 – únor 2025) jsme zachytili 8,3 miliardy incidentů a to z 232 zemí a z jejich závislých území. Tyto útoky přišly od 6,2 milionu útočníků (respektive unikátních adres). SMTP minipot je stále nejlákavější pastí, zhruba 79 % útoků bylo směřováno na tento minipot, 16 % útoků směřovalo na minipot Telnet, 3 % útoků směřovaly na minipot HTTP a 2 % na minipot FTP. Dále jsme zaznamenali 3,2 milionu unikátních hesel a 318 tisíc unikátních loginů, které útočníci zkoušeli."

Ladislav Hagara | Komentářů: 1

GIMP 3.0.4

včera 12:44 | Nová verze

Byla vydána (Mastodon, 𝕏) nová verze 3.0.4 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP je již k dispozici také na Flathubu.

Ladislav Hagara | Komentářů: 0

Vivaldi 7.4

včera 12:33 | Nová verze

Byla vydána nová stabilní verze 7.4 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 136. Přehled novinek i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaký je váš oblíbený skriptovací jazyk?

bash (60%)

python (23%)

perl (9%)

powershell (2%)

batch (0%)

vbscript (0%)

jiný, uvedu v diskusi (6%)

Celkem 47 hlasů

Komentářů: 5, poslední dnes 20:57

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Blogy / PhaX_blog / PHP a bezpečnost na serveru / PHP a bezpečnost na serveru (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (0) ?

Vložit další komentář

30.1.2011 12:53 2012
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Odpovědět | Sbalit | Link | Blokovat | Admin

Co take ultra-security-needed prevadzkujes na servery? Homepage? :-D

30.1.2011 13:00 vlastik
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Odpovědět | Sbalit | Link | Blokovat | Admin

Já se na open_basedir raději nespoléhám. Stránky umisťuji do domovských adresářů uživatelů (do podadresáře public_html) a PHP pak vždy běží pod daným uživatelem.

30.1.2011 14:05 roman
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

A jak to delate, ze php bezi pod jinym uzivatelem podle vlastnika ? Jak to funguje v kombinaci s apachem, pouzivate PHP jako modul(asi ne) tedy jako fcgi/wscgi? Prozradte vice? Diky R.

30.1.2011 14:49 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

těch variant je... Na to popisované je myslím nejlepší suphp, které je ale spíše nevýkonné... Mně se osvědčilo fcgid + suexec

If you understand, things are just as they are; if you do not understand, things are just as they are.

30.1.2011 14:50 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Hledej mod_suexec

Quando omni flunkus moritati

30.1.2011 17:36 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Buď se to dá udělat jako CGI a suexec, což je trochu pomalejší, protože se to musí při každém požadavku naforkovat. Nebo se to dá udělat tak, že si spustíš víc FastCGI procesů, každý pod jiným uživatelem, což je sice rychlé, ale zase to při víc uživatelích může žrát paměť. Apache nepoužívám, ale oboje jsem dělal na LigHTTPd a nginxu.

23.3.2011 10:27 Erbureth | skóre: 21
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

apache2-mpm-itk, řeší problém tam, kde vznikl, tedy přímo na úrovni Apache.

30.1.2011 13:11 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Odpovědět | Sbalit | Link | Blokovat | Admin

Open_basedir je v Debianu považováno za broken... Osobně jako rozumné zabezpečení vidím provozovat každý web pod jiným, velmi omezeným, uživatelem...

If you understand, things are just as they are; if you do not understand, things are just as they are.

30.1.2011 14:46 Dragon Jake | blog: Drakův zápisník | Praha
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

jak říká Jakub, nejlepší řešení je spolehnout se na OS. V případě omezeného uživatele už dokonce odpadá nutnost zakazovat funkce (btw. proč parse_ini_file a proč show_source, což je jen alias pro highlight_file?)

30.1.2011 15:24 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

#cat /usr/share/doc/php5/README.Debian.security
the Debian stable security team does not provide security support for certain configurations known to be inherently insecure. This includes the interpreter itself, extensions, and code written in the PHP language. Most specifically, the security team will not provide support for flaws in:
- vulnerabilities involving any kind of safe_mode or open_basedir violation, as these are security models flawed by design and no longer have upstream support either.
- any "works as expected" vulnerabilities, such as "user can cause php to crash by writing a malcious php script", unless such vulnerabilities involve some kind of higher-level DoS or privilege escalation that would not otherwise be available.
-- sean finney Tue, 10 Oct 2006 12:42:06 +0200

(redakčně kráceno)

If you understand, things are just as they are; if you do not understand, things are just as they are.

30.1.2011 16:03 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Musím říct, že přístup "i když budeme vědět, že v open_basedir je chyba, nebudeme ji opravovat" se mi teda moc nelíbí.

Quando omni flunkus moritati

30.1.2011 16:10 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Mně přijde výmluvné to "certain configurations known to be inherently insecure" a " no longer have upstream support either."

If you understand, things are just as they are; if you do not understand, things are just as they are.

30.1.2011 20:41 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Co se týče "no longer have upstream support either" - když už používám Debian stable, očekávám, že se vývojáři budou snažit opravovat chyby, dokud bude daná stable verze podporována. Bez ohledu na to, co si myslí upstream.

Quando omni flunkus moritati

30.1.2011 21:09 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

"Feature broken by design" není nic, v čem by se měl downstream vrtat.

30.1.2011 16:18 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

No nevím, osobně mi přijde lepší to říct narovinu, než se snažit látat něco, co je deffective by design.

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

30.1.2011 20:41 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

No zrovna co se open_basedir týče, tak mi nepřijde, že by to bylo deffective by design. Jasně že spousta věcí se dá pořešit právy uživatele, pod kterým běží PHP, ale i tak jsou místa, kam ten uživatel potřebuje přístup (aby fungovalo PHP), ale přesto nechci, aby tam mohl hrabat skript.

Quando omni flunkus moritati

30.1.2011 20:49 VSi | skóre: 28
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Z mého pohledu je open_basedir v mnoha situacích velmi dobrá vlastnost PHP, a to i když se zároveň používá např. suexec. Nicméně je to skutečně defective, dokud se důsledně nezakážou všechny funkce typu exec, shell_exec, system atd. (je jich skutečně hodně), které umožňují spouštět externí kód, na který se open_basedir samozřejmě nevztahuje. Problém vidím v tom, že těch funkcí umožňujích spustit externí kód je skutečně hodně, pak k tomu lze zneužít některá php rozšíření, a neexistuje jedna volba, která by toto omezila.

Jistě je jedna z cest i použití věšcí jako selinux nebo apparmor. Jenže zatím jsem nenašel možnost nebo konfiguraci, která by umožnila snadné nasazení a správu na mass-hostingu (řekněme stovky izolovaných webů na jednom systému). Fastcgi+suexec s volitelným open_basedir (není-li třeba spouštět externí aplikace) je pak dobrá volba.

31.1.2011 15:46 phax7 | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Hmm, tohle vypadá docela výmluvně... moc jste mě teda nepotěšili:)

30.1.2011 16:07 saly | skóre: 23 | blog: odi_et_amo
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Odpovědět | Sbalit | Link | Blokovat | Admin

Na serveru používám apache-mpm-itk, takže podproces webserveru pustím celý pod konkrétním uživatelem, který patří k dané doméně a pak je mi zbytek celkem jedno :-)

Mám svůj web: https://www.renekliment.cz/.

30.1.2011 17:17 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Každé řešení má své. mpm-itk přináší rizika v podobě běhu pod rootem (do zjištění, co je v hlavičce Host a následné změny uživatele). mpm-peruser je na tom podobně, liší se hlavně z hlediska výkonového (většinou je rychlejší, ale při velkém počtu uživatelů žere hodně paměti). Řešení založená na CGI jsou bezpečnější, ale vždy výrazně pomalejší.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

30.1.2011 17:44 VSi | skóre: 28
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Z měření, které jsem naposledy dělal (na reálné aplikaci, umělá zátěž) vyplynulo, že výkon mod_php a PHP+FASTCGI+SUEXEC je naprosto srovnatelný. CGI je samozřejmě nekolikanásobně pomalejší. Jako nevýhodu všech řešení s mod_php (mpm-peruser, mpm-itk) bych jmenoval vyšší spotřebu paměti (protože PHP knihovny jsou načteny i v procesech, které obsluhují statický obsah) a nutnost použít non-threaded Apache worker (PHP, resp. mnohá rozšíření, není thread-safe).

Riziko běhu pod rootem tam bude vždy, u suexecu je to riziko minimalizováno na jeden spustitelný soubor se silně ořezanými funkcemi. Je tu i možnost fastcgi procesy spustit "napřed" při startu serveru již pod cílovými uživateli. To se ale moc nehodí pro mass-hosting, spíš pro jednotlivé aplikace.

Jinak dost záleží na provozovaných aplikacích. Běh pod různými uživateli přináší nevýhodu v nemožnosti sdílet opcode cache (nebo aspoň nevím, jak to udělat), což se při desítkách webů, co načítají např. stejný Zend Framework, dost projeví na spotřebě paměti. Pak může být open_basedir a zakázání "nebezpečných" funkcí dobrá cesta.

30.1.2011 19:40 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Z měření, které jsem naposledy dělal (na reálné aplikaci, umělá zátěž) vyplynulo, že výkon mod_php a PHP+FASTCGI+SUEXEC je naprosto srovnatelný.

Asi bude záležet na konkrétní situaci.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

30.1.2011 16:14 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Odpovědět | Sbalit | Link | Blokovat | Admin

Co takhle přidat do php suhosin a mod_security do apache?

-- Nezdar není hanbou, hanbou je strach z pokusu.

31.1.2011 15:46 phax7 | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Podívám se na ně, to bude asi cesta...

30.1.2011 18:53 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Odpovědět | Sbalit | Link | Blokovat | Admin

Já používám fastcgi+suexec a žádný problém. Nicméně i tak se mi to moc nelíbí :-/. Sice je to pěkné systémové řešení (každý web běží pod jiným uživatelem a každý uživatel má svůj vlastní php.ini), ale radši bych tu bezpečnost ještě zvýšil. Tudíž se koukám pomalu po nějakých možnostech chrootu, popř. již zmíněné suhosin.
Zdar Max

Měl jsem sen ... :(

30.1.2011 19:41 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Odpovědět | Sbalit | Link | Blokovat | Admin

Jako obvykle se zapomnělo na mod_selinux resp. mod_apparmor.

In Ada the typical infinite loop would normally be terminated by detonation.

31.1.2011 15:28 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Odpovědět | Sbalit | Link | Blokovat | Admin

Proč zakazuješ curl_exec, curl_multi_exec, parse_ini_file a show_source? Ani jedna z těch funkcí není nijak nebezpečná a navíc jsou nahraditelné spoustou jiných funkcí, jen to bude znamenat více práce pro programátora a větší zátěž serveru, případně i zhoršený zdravotní stav admina.

Hello world ! Segmentation fault (core dumped)

31.1.2011 15:45 phax7 | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Já jsem programátor i admin v jedné osobě, když mi budou chybět tak si je povolím:)

31.1.2011 16:17 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Tím jsi ale nijak neodpověděl na otázku.

Hello world ! Segmentation fault (core dumped)

31.1.2011 16:38 phax7 | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Já netuším k čemu ty funkce jsou:) Nějaký web co jsem vygoolil mi řekl ať je zakážu, nepotřebuju je, zakázal jsem je:)

31.1.2011 16:41 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Ach.

Tak ve zkratce takto: Jsou stejně nebezpečné jako file_get_contents().

Hello world ! Segmentation fault (core dumped)

31.1.2011 22:25 Dalibor Smolík | skóre: 54 | blog: Postrehy_ze_zivota | 50°5'31.93"N,14°19'35.51"E
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Odpovědět | Sbalit | Link | Blokovat | Admin

egister_globals = Off to už je dneska všude default
Já jsem tak strašně líný člověk, že si dávám register_globals na ON :-)

.. ale moje aplikace je jen vnitřní, ven to nejde ..

Rozdíly v řeči a ve zvyklostech neznamenají vůbec nic, budeme-li mít stejné cíle a otevřená srdce.

31.1.2011 22:41 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Ono to ani nemusíš zapínat, stačí na začátku (nebo i jinde) udělat:

parse_str($_SERVER['QUERY_STRING']);

...a máš to samé. Ftip je v tom, že to můžeš udělat třeba uvnitř nějaké funkce, takže případný útočník má jen velmi omezené pole působnosti k ovlivnění neinicializovaných proměnných.

Hello world ! Segmentation fault (core dumped)

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje