PDA

Bekijk Volledige Versie : php_value en php-cgi


LB06
27/04/07, 19:25
Hallo,

We willen vanwege security redenen gaan overstappen naar php via de fastcgi interface, zodat we suexec kunnen draaien en de performance gewaarborgd blijft. Op dit moment draaien we mod_php met open_basedir e.d., maar dat voldoet niet echt meer. Daarom willen we gaan overstappen.

Ik lees echter op verschillende fora en websites, en ben het zelf ook even nagegaan, dat het niet mogelijk is om dmv een htaccess php setting te overriden, als php via cgi gaat.

Zijn er mensen die hier ervaring mee hebben, of zelfs een oplossing? We zijn namelijk bang dat er heel wat kapot gaat als mensen geen php_values meer kunnen zetten. Ik hoop dat iemand me hiermee kan helpen. Bvd!

Even for the record: Het gaat om een shared hosting environment op Debian Etch. We draaien php4 en php5 momenteel naast elkaar (overgangsfase).
Wido
27/04/07, 19:49
Waarom ga je geen mod_ruid draaien?
LB06
27/04/07, 21:09
Waarom ga je geen mod_ruid draaien?
Omdat de laatste versie in 2005 is ontwikkeld voor apache2.0, en wij apache 2.2 draaien. Bovendien moet apache dan als root worden gedraaid, wat nooit goed kan gaan zonder aanvullende maatregelen. Maar bedankt voor de tip! :)
Wido
27/04/07, 21:34
Omdat de laatste versie in 2005 is ontwikkeld voor apache2.0, en wij apache 2.2 draaien. Bovendien moet apache dan als root worden gedraaid, wat nooit goed kan gaan zonder aanvullende maatregelen. Maar bedankt voor de tip! :)Hmm, kijk dan eens op: http://feisty.widodh.nl/phpinfo.php

Is Ubuntu Feisty met Apache 2.2 en mod_ruid.

Apache als root? Nee hoor, gewoon www-data :)

En als iets uit 2005 komt betekend niet dat het slecht is, het kan ook gewoon zijn werk doen.
LB06
28/04/07, 23:41
Hmm, kijk dan eens op:
Apache als root? Nee hoor, gewoon www-data :)

Hm, wat wordt hier dan mee bedoeld? Komt dat niet op hetzelfde neer?

Van de website van mod_ruid:

there are some security issues, for instance if attacker successfully exploits the httpd process, he can set effective capabilities and setuid to root. i recommend to use some security patch in kernel (grsec), or something..

Het wordt mooi samengevat op de website van mod_suid2:

Notice, if you install mod_suid2, security between one virtualhost and another will be fine. But, Security against attacks from internet will be bad.

En volgens mij heeft suexec daar geen last van. De scheiding tussen de vhosts lossen wij op een andere manier op.