The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Безопасная настройка PHP для виртуального хостинга на UNIX (apache web php cgi security)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: apache, web, php, cgi, security,  (найти похожие документы)
From: Stricty <me@strict.spb.ru> Subject: Безопасная настройка PHP для виртуального хостинга на UNIX Оригинал: http://strict.spb.ru/php4unix.html Ссылка получена с http://www.nixp.ru Обсудить: http://strict.spb.ru/cgi-bin/robboard.cgi?action=display&num=3 Безопасная настройка PHP для виртуального хостинга на UNIX Предисловие Приходится признать, что операционные системы Windows не собираются уходить в небытиё. Игнорировать этот факт нельзя, поэтому нужно научиться мирно сосуществовать с таковыми. Как известно, UNIX предоставляет удобные средства работы с TCP/IP и Internet, тогда как именно в Windows работают миллионы пользователей. А на долю системных администраторов выпадает управление всем этим "сатанинским шабашем". "UNIX. Руководство системного администратора. Издание 3", предисловие к главе 26. Hашла на меня блажь настроить на моём сервере модуль PHP к вэб серверу Apache. Я, конечно, успела наслушаться о том что там какие-то запутки с настройками безопасности использования PHP, некоторые определила в процессе стряпания страничек и тут, как нельзя кстати, мне подвернулся в каком-то форуме Phil <schors@nm.ru>, очень мило помогший не наступить на грабли трижды. Собственно, эта страничка - наш с ним совместный труд к общей пользе. Hе могу сказать, что тут что-то изобретено нами, но зато всё собрано нами любимыми в одну кучку. Здесь я предлагаю свой вариант как максимально обезопасить совместное использование PHP/SSI/CGI на UNIX-like системах с использованием веб сервера Apache и размещении различных виртуальных хостов на одном IP. Я не буду морочить голову ненужными подробностями, предлагая каждому посетителю странички ознакомиться с командами unix-shell и особенностями компиляции и настройки упоминаемого программного обеспечения самостоятельно. Если кто-то найдёт это для себя сложным, то ему лучше перейти на какую-нибудь другую, более увлекательную страничку, поиграть в сисадмина. Я намеренно обошла вниманием запуск PHP-скриптов как CGI - там и так всё ясно. В ту же кучу я отмела и проблемы PHP на выделенном сервере. День первый Итак, я прыгаю в мягкое кресло, пристраиваю клаву у себя коленках и бодренько так стукаю по кнопке питания (не меня, а компа :). У меня стоит FreeBSD (для пингвиноидов буду делать специальные коментарии, если чего забуду - дёргайте за рукав), свеженький Apache, настроенный для работы от имени пользователя apache, входящего только в группу apache, с приложенными к Apache'у suexec'ом и PHP. Сейчас я настрою для пользователя stricty, входящему только в группу stricty и имющему домашний каталог /home/stricty, систему, чтобы stricty могла размещать свой сайт не боясь злых "соседей" буде таковые объявятся. Да, рассаживайтесь рядом поудобнее, потому что пока мы тут болтали система уже загрузилась и можно начинать. Все устроились? Отлично! Теперь дружно отвернулись, так как я собираюсь залогиниться root'ом... Сила привелегий Я буду делать всё по порядку. Hачинаю с каталога, базового для домашних каталогов пользователей, то есть /home. Я запрещаю абсолютно всем запись в этот каталог и разрешу переходить в него. Затем я назначаю владельцем /home пользователя apache и группу apache. ...Я что, забыла попросить повернуться обратно?.. Быстренько поворачиваемся, я уже давно объясняю. Только пользователю и группе apache и никому больше я разрешаю читать этот каталог. Теперь можете быть уверены - изменить каталог сможет только суперпользователь, прочитать сможет ещё и пользователь apache, а перейти ниже этого каталога - любые пользователи. root@strict:~# chown apache:apache /home root@strict:~# chmod ug=rx,o=x /home root@strict:~# ls -l / | grep home dr-xr-x--x 2 apache apache 512 Jan 17 02:30 /home root@strict:~# Очень нежно подходим к домашнему каталогу для stricty - это мой дом, в котором будут жить мои mp3шки, рассказы и сайт. Печальный опыт показал, что придётся пожертвовать домашний каталог /home/stricty пользователю apache, но оставить в группе stricty. Что и делаем. И владелцу и группе разрешаем чтение и переход в этот каталог, запись разрешаем только мне, то есть группе stricty. Всем остальным ничего не разрешаем. Внимательно смотрим! Hасмотрелись? Так, отводим взгляды от меня, смотрим на экран и осознаём - ниже каталога stricty могут перемещаться только пользователь apache и члены группы stricty - собственно, сама stricty. Без дополнительных ухищрений ни один сосед не может теперь пролезть ко мне в дом и я могу смело размещать в нём интимную информацию - например, фотографию моей любимой кошечки. root@strict:~# chown apache:stricty /home/stricty root@strict:~# chmod ug=rx,g+w,o-rwx /home/stricty root@strict:~# ls -l /home dr-xrwx--- 2 apache stricty 512 Jan 17 02:35 /home/stricty root@strict:~# Для того, чтобы ошибки моих скриптов не могли испортить структуры каталогов, используемых в служебных целях, и для придания аккуратности моему дому, создаю в нём каталог www, принадлежащий пользователю apache и группе apache. root@strict:~# mkdir /home/stricty/www root@strict:~# chown apache:apache /home/stricty/www root@strict:~# chmod a=rx /home/stricty/www root@strict:~# ls -l /home/stricty | grep www dr-xr-xr-x 2 apache apache 512 Jan 17 02:43 /home/stricty/www root@strict:~# Вот и всё. Создаю каталоги для страничек и скриптов, принадлежащие, естественно мне, каталоги для логов и временных файлов, принадлежащие пользователю apache. Права доступа выставляем по потребностям - странички и скрипты должны быть читаемыми и запусаемыми Apache'м, и полностью контролируемыми мною, логи должны быть доступны на запись Apache'у и читаемы мною, каталог с временными файлами должен быть доступен для всех по всем параметрам. root@strict:~# mkdir /home/stricty/www/html root@strict:~# mkdir /home/stricty/www/cgi root@strict:~# chown stricty:stricty /home/stricty/www/html /home/stricty/www/c gi root@strict:~# chmod u=rwx,go=rx /home/stricty/www/html /home/stricty/www/cgi root@strict:~# mkdir /home/stricty/www/logs root@strict:~# mkdir /home/stricty/www/tmp root@strict:~# chown apache:apache /home/stricty/www/logs /home/stricty/www/tmp root@strict:~# chmod u=rwx,go=rx /home/stricty/www/logs root@strict:~# chmod a=rwx /home/stricty/www/tmp root@strict:~# ls -l /home/stricty/www drwxr-xr-x 2 stricty stricty 512 Jan 17 02:57 /home/stricty/www/html drwxr-xr-x 2 stricty stricty 512 Jan 17 02:57 /home/stricty/www/cgi drwxr-xr-x 2 apache apache 512 Jan 17 02:57 /home/stricty/www/logs drwxrwxrwx 2 apache apache 512 Jan 17 02:57 /home/stricty/www/tmp root@strict:~# Конфигурирование PHP Приступим к правке файлика php.ini. Обязательно ставим режим safe_mode (или у Вас не все дома?). Разрешаем запуск программ только из специального каталога (у меня он обычно пустой) и запрещаем функцию system(). Можно этого и не делать, но представьте, что кто-то сможет дать команду killall -9 httpd и ужаснитесь! safe_mode=on safe_mode_exec_dir=/home/http disable_functions=system Ой! Зачем же так пугаться?! Вылезайте из-за шкафа - я же показала как исправить ситуацию, уже всё в порядке. Осталось поправить конфигурацию веб сервера. Hахожу файл конфигурации, у меня это /usr/local/etc/apache/httpd.conf, и внутри директивы VirtualHost для сервера stricty добавляю разрешение обработки скриптов PHP php_admin_flag engine on. Осталось задать значения переменных PHP-машины open_basedir, include_path, upload_tmp_dir, safe_mode_include_dir для ограничения области работы с файлами моим домашним каталогом. php_admin_flag engine on php_admin_value open_basedir /home/stricty/ php_admin_value include_path .:/home/stricty php_admin_value upload_tmp_dir /home/stricty/www/tmp php_admin_value safe_mode_include_dir /home/stricty/www/tmp Пусть всегда будет так ужасно! Всё настроено, можно перезапустить Apache и смело идти пить кофе. Проходите к столу и пока я варю божественный напиток, послушайте. Когда с помощью нескольких потерь данных, бессонных ночей и Schors'a удалось победить PHP, возникла идея избавиться от safe_mode. Как только мы выпьем по чашечке кофе, я сяду изучать документацию по PHP для создания режима safe_mode light. Хотя, последуещее обязательное отслеживание изменений вносимых в каждую версию PHP - задача не для слабонервных. 17-Jan-2003, Stricty <me@strict.spb.ru>

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Обсуждение [ RSS ]
  • 1, Gemorroj (?), 19:16, 09/08/2008 [ответить]  
  • +/
    [quote]safe_mode=on[/quote] - это у кого не все дома?) мы же не для крастоы php ставим, а чтобы на нем работать ;)
     
     
  • 3, andrey (??), 18:53, 25/08/2009 [^] [^^] [^^^] [ответить]  
  • +/
    в большинстве случаев, включение safe_mode ни коим образом не сказывается на функционировании сайта. Большинство web-паннелей/интернет магазинов и прочего, которые требуют его отключения - требуют непонятно зачем, а производители данного ПО только и могут сказать: "у нас такая конфигурация и у нас работает. что будет при включении - не знаем". Вот это реальный бред.
    Включение той или иной опции должно быть осознано. Если нужен safe_mode - вопрос один, если нет, но включили "прозапас" и включили в список обязательных требований - это тупо.
     

  • 2, User294 (ok), 23:54, 09/08/2008 [ответить]  
  • +/
    Ого, у нас что, машина времени заработала?Коллайдер чтоли запустили?Подпись у этой статьи очень уж интересная:

    > 17-Jan-2003, Stricty <me@strict.spb.ru>

    Для 2003 года вполне нормальный и актуальный мануал, проблема только в том что с тех пор прошло 5 лет...

     
  • 4, Олег (??), 14:08, 13/02/2013 [ответить]  
  • +/
    Даешь зомбопост!
    уже 10 лет прошло, а в гугле все висит.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру