PHP a bezpečnost na serveru (diskuse)

Já se na open_basedir raději nespoléhám. Stránky umisťuji do domovských adresářů uživatelů (do podadresáře public_html) a PHP pak vždy běží pod daným uživatelem.

30.1.2011 14:05 roman
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

A jak to delate, ze php bezi pod jinym uzivatelem podle vlastnika ? Jak to funguje v kombinaci s apachem, pouzivate PHP jako modul(asi ne) tedy jako fcgi/wscgi? Prozradte vice? Diky R.

30.1.2011 14:49 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

těch variant je... Na to popisované je myslím nejlepší suphp, které je ale spíše nevýkonné... Mně se osvědčilo fcgid + suexec

If you understand, things are just as they are; if you do not understand, things are just as they are.

30.1.2011 14:50 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Hledej mod_suexec

Quando omni flunkus moritati

30.1.2011 17:36 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Buď se to dá udělat jako CGI a suexec, což je trochu pomalejší, protože se to musí při každém požadavku naforkovat. Nebo se to dá udělat tak, že si spustíš víc FastCGI procesů, každý pod jiným uživatelem, což je sice rychlé, ale zase to při víc uživatelích může žrát paměť. Apache nepoužívám, ale oboje jsem dělal na LigHTTPd a nginxu.

23.3.2011 10:27 Erbureth | skóre: 21
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

apache2-mpm-itk, řeší problém tam, kde vznikl, tedy přímo na úrovni Apache.

Open_basedir je v Debianu považováno za broken... Osobně jako rozumné zabezpečení vidím provozovat každý web pod jiným, velmi omezeným, uživatelem...

If you understand, things are just as they are; if you do not understand, things are just as they are.

30.1.2011 14:46 Dragon Jake | blog: Drakův zápisník | Praha
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

jak říká Jakub, nejlepší řešení je spolehnout se na OS. V případě omezeného uživatele už dokonce odpadá nutnost zakazovat funkce (btw. proč parse_ini_file a proč show_source, což je jen alias pro highlight_file?)

30.1.2011 15:24 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

#cat /usr/share/doc/php5/README.Debian.security
the Debian stable security team does not provide security support for certain configurations known to be inherently insecure. This includes the interpreter itself, extensions, and code written in the PHP language. Most specifically, the security team will not provide support for flaws in:
- vulnerabilities involving any kind of safe_mode or open_basedir violation, as these are security models flawed by design and no longer have upstream support either.
- any "works as expected" vulnerabilities, such as "user can cause php to crash by writing a malcious php script", unless such vulnerabilities involve some kind of higher-level DoS or privilege escalation that would not otherwise be available.
-- sean finney Tue, 10 Oct 2006 12:42:06 +0200

(redakčně kráceno)

If you understand, things are just as they are; if you do not understand, things are just as they are.

30.1.2011 16:03 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Musím říct, že přístup "i když budeme vědět, že v open_basedir je chyba, nebudeme ji opravovat" se mi teda moc nelíbí.

Quando omni flunkus moritati

30.1.2011 16:10 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Mně přijde výmluvné to "certain configurations known to be inherently insecure" a " no longer have upstream support either."

If you understand, things are just as they are; if you do not understand, things are just as they are.

30.1.2011 20:41 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Co se týče "no longer have upstream support either" - když už používám Debian stable, očekávám, že se vývojáři budou snažit opravovat chyby, dokud bude daná stable verze podporována. Bez ohledu na to, co si myslí upstream.

Quando omni flunkus moritati

30.1.2011 21:09 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

"Feature broken by design" není nic, v čem by se měl downstream vrtat.

30.1.2011 16:18 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

No nevím, osobně mi přijde lepší to říct narovinu, než se snažit látat něco, co je deffective by design.

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

30.1.2011 20:41 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

No zrovna co se open_basedir týče, tak mi nepřijde, že by to bylo deffective by design. Jasně že spousta věcí se dá pořešit právy uživatele, pod kterým běží PHP, ale i tak jsou místa, kam ten uživatel potřebuje přístup (aby fungovalo PHP), ale přesto nechci, aby tam mohl hrabat skript.

Quando omni flunkus moritati

30.1.2011 20:49 VSi | skóre: 28
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Z mého pohledu je open_basedir v mnoha situacích velmi dobrá vlastnost PHP, a to i když se zároveň používá např. suexec. Nicméně je to skutečně defective, dokud se důsledně nezakážou všechny funkce typu exec, shell_exec, system atd. (je jich skutečně hodně), které umožňují spouštět externí kód, na který se open_basedir samozřejmě nevztahuje. Problém vidím v tom, že těch funkcí umožňujích spustit externí kód je skutečně hodně, pak k tomu lze zneužít některá php rozšíření, a neexistuje jedna volba, která by toto omezila.

Jistě je jedna z cest i použití věšcí jako selinux nebo apparmor. Jenže zatím jsem nenašel možnost nebo konfiguraci, která by umožnila snadné nasazení a správu na mass-hostingu (řekněme stovky izolovaných webů na jednom systému). Fastcgi+suexec s volitelným open_basedir (není-li třeba spouštět externí aplikace) je pak dobrá volba.

31.1.2011 15:46 phax7 | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Hmm, tohle vypadá docela výmluvně... moc jste mě teda nepotěšili:)

Na serveru používám apache-mpm-itk, takže podproces webserveru pustím celý pod konkrétním uživatelem, který patří k dané doméně a pak je mi zbytek celkem jedno :-)

Mám svůj web: https://www.renekliment.cz/.

30.1.2011 17:17 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Každé řešení má své. mpm-itk přináší rizika v podobě běhu pod rootem (do zjištění, co je v hlavičce Host a následné změny uživatele). mpm-peruser je na tom podobně, liší se hlavně z hlediska výkonového (většinou je rychlejší, ale při velkém počtu uživatelů žere hodně paměti). Řešení založená na CGI jsou bezpečnější, ale vždy výrazně pomalejší.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

30.1.2011 17:44 VSi | skóre: 28
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Z měření, které jsem naposledy dělal (na reálné aplikaci, umělá zátěž) vyplynulo, že výkon mod_php a PHP+FASTCGI+SUEXEC je naprosto srovnatelný. CGI je samozřejmě nekolikanásobně pomalejší. Jako nevýhodu všech řešení s mod_php (mpm-peruser, mpm-itk) bych jmenoval vyšší spotřebu paměti (protože PHP knihovny jsou načteny i v procesech, které obsluhují statický obsah) a nutnost použít non-threaded Apache worker (PHP, resp. mnohá rozšíření, není thread-safe).

Riziko běhu pod rootem tam bude vždy, u suexecu je to riziko minimalizováno na jeden spustitelný soubor se silně ořezanými funkcemi. Je tu i možnost fastcgi procesy spustit "napřed" při startu serveru již pod cílovými uživateli. To se ale moc nehodí pro mass-hosting, spíš pro jednotlivé aplikace.

Jinak dost záleží na provozovaných aplikacích. Běh pod různými uživateli přináší nevýhodu v nemožnosti sdílet opcode cache (nebo aspoň nevím, jak to udělat), což se při desítkách webů, co načítají např. stejný Zend Framework, dost projeví na spotřebě paměti. Pak může být open_basedir a zakázání "nebezpečných" funkcí dobrá cesta.

30.1.2011 19:40 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Z měření, které jsem naposledy dělal (na reálné aplikaci, umělá zátěž) vyplynulo, že výkon mod_php a PHP+FASTCGI+SUEXEC je naprosto srovnatelný.

Asi bude záležet na konkrétní situaci.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

Proč zakazuješ curl_exec, curl_multi_exec, parse_ini_file a show_source? Ani jedna z těch funkcí není nijak nebezpečná a navíc jsou nahraditelné spoustou jiných funkcí, jen to bude znamenat více práce pro programátora a větší zátěž serveru, případně i zhoršený zdravotní stav admina.

Hello world ! Segmentation fault (core dumped)

31.1.2011 15:45 phax7 | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Já jsem programátor i admin v jedné osobě, když mi budou chybět tak si je povolím:)

31.1.2011 16:17 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Tím jsi ale nijak neodpověděl na otázku.

Hello world ! Segmentation fault (core dumped)

31.1.2011 16:38 phax7 | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Já netuším k čemu ty funkce jsou:) Nějaký web co jsem vygoolil mi řekl ať je zakážu, nepotřebuju je, zakázal jsem je:)

31.1.2011 16:41 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: PHP a bezpečnost na serveru

Ach.

Tak ve zkratce takto: Jsou stejně nebezpečné jako file_get_contents().

Hello world ! Segmentation fault (core dumped)