Last updated: Sat, 24 Mar 2007

Kapitola 25. Instalace jako modul do Apache

Je-li PHP nainstalováno jako modul do Apache, dědí práva uživatele, pod nímž Apache běží (typicky uživatele "nobody"). To má řadu dopadů na bezpečnost a autorizaci. Pokud například používáte PHP pro přístup k databázi, pokud tato nemá vlastní řízení přístupu, budete ji muset zpřístupnit uživateli "nobody". To znamená, že by škodlivý skript mohl přistupovat k databázi a měnit ji, a to i bez uživatelského jména a hesla. Je úplně klidně možné, že webový spider narazí na stránku databázového administrátora a zruší všechny vaše databáze. Můžete se proti tomu bránit autorizací prostředky Apache nebo navrhnout vlastní přístupový model za použití LDAP, souborů .htaccess atd. a vložit takový kód do svých PHP skriptů.

Často, když se zabezpečení provede v bodě, kde přístup uživatele PHP (v tomto případě uživatele Apache) nese jen velice malé riziko, se zjišťuje, že PHP najednou nemůže zapisovat do žádných souborů v uživatelských adresářích. Nebo mu je zabráněno přistupovat k databázím a měnit je. Rovná se to zabezpečení proti zápisu do dobrých i špatných souborů, nebo provádění dobrých i špatných databázových transakcí.

Častou chybou dělanou v tomto bodě je poskytnout serveru Apache rootovská práva nebo nějak jinak zvýšit jeho schopnosti.

Zvýšení práv uživatele, pod nímž běží Apache, na roota je extrémně nebezpečné a může zkompromitovat celý systém. Proto o příkazech jako sudo, chroot nebo něco jiného běžícího jako root, by neměl uvažovat nikdo, kdo není profesionál v oblasti bezpečnosti.

Existují jednodušší řešení. Pomocí open_basedir můžete určovat, které adresáře bude možno používat v PHP. Můžete též nastavit oblasti jen pro Apache, aby byly veškeré webové aktivity omezeny na soubory, které nejsou ani systémové, ani uživatelské.

Bezpečnost souborových systémů

Case 4: PHP parser outside of web tree

Last updated: Sat, 24 Mar 2007

add a note User Contributed Notes
Instalace jako modul do Apache

Kibab
30-Sep-2005 06:56


I'm running Windows version of Apache with php as module. System is Windows XP Service Pack 2 on NTFS filesystem. To avoid potential security problems, I've set Apache to run under NT AUTHORITY\Network Service account, and there is only one directory, named Content, with Full Access for this account. Other directories are either not accessible at all or with readonly permissions (like %systemroot%)... So, even if Apache will be broken, nothing would happen to entire system, because that account doesn't have admin privilegies :)

tifkap
01-Mar-2004 03:21


There is a safe way to support a lot of users in a secure way, without having to use CGI, in a way which is probebly faster

than mod_php.



Use FastCGI, with the SuExecWrapper set to your suid wrapper. It means every user wil get his own program-group, with processes

which are being reused. If the numer of processes that is being 

started on startup is 0, then the processgroup for a user will be generated when needed.



This means: The first page is slow, after that the Zend Engine  caching kicks in. When the load on the virtualhost reduces, the

processes wil die off, and extra processes for a user-process-group 

will only be started when (again) needed.



Your apache will be a LOT! lichter, because it won't have to drag all

the php-memory overhead with it. This means static content is 

faster, and the whole system uses less memory. 

The PHP itself also won't need to drag along the apache overhead.



If for one reason or the other php craches, your apache will simple 

start some new php-processes. If you want to upgrade/patch php, 

you can simple create the new fastcgi binary, and after testing, you can simple update the system by copying it, and maybe doing a 

'apachectl gracefull'



In short :  Sepparating distinct functions in different processes 

                communicating useing IPC methodes can be very good

                for performance and security. The best example of this

                principle at work is Postfix, where every process runs 

                chroot() under its own uid.



http://wiki.openisis.org/i/view/Php/HowtoFastCgi

Georgee at CWC
30-Apr-2003 06:16


Additional CAUTION to anyone trying Pollux's solution:

It's kind a good. Probably works right. I think I'll give it a try myself. BUT...

its safe ONLY on the assumption that apache is 100% CLEAN. (codes and confs.) Any flaws on apache, almost ANYTHING could happen to ALL users -precisely, web users. (Because apache is a member of ALL -again, web user's- GID.) So, leeps's hint should be one of the important things.



There is nothing close to perfect. What I wrote is just one thing you'll have to keep in mind. So, consider carefully BEFORE you try this solution. (Well, this applies to any other solutions though...)

leeps
10-Mar-2003 05:59


@pollux: additionally, tell your users to set their file-permissions to

- r-- (group) for files

- --x (group) for directories.



this disables the webserver to browse user's directory. if you don't know the filename, you cannot open it, e.g. by running malicious php-code through one of the users scripts.

daniel dot eckl at gmx dot de
08-Aug-2002 04:16


There is a better solution than starting every virtual host in a seperate instance, which is wasting ressources.



You can set open_basedir dynamically for every virtual host you have, so every PHP script on a virtual host is jailed to its document root.



Example:

<VirtualHost www.example.com>

  ServerName www.example.com

  DocumentRoot /www-home/example.com

[...]

  <Location />

    php_admin_value open_basedir     \ "/www-home/example.com/:/usr/lib/php/"

  </Location>

</VirtualHost>



If you set safe_mode on, then the script can only use binaries in given directories (make a special dir only with the binaries your customers may use).



Now no user of a virtual host can read/write/modify the data of another user on your machine.



Windseeker

add a note

Bezpečnost souborových systémů

Case 4: PHP parser outside of web tree

Last updated: Sat, 24 Mar 2007