Налагодження та установка Suhosin на сервер
Сьогодні ні для кого не секрет що вебсервер схильні до атак зловмисників. Причин за якими хакери заінтересавалісь вашим сайтом або сервером може бути багато, це і просто "спортивний" інтерес, замовлення конкуруючої організації, отримання інформації з метою отримання прибутку. Чому сайти бувають вразливими? Це можуть бути і помилки програмістів, які властиві не тільки новачкам, доступність інформації та інструментів для атак, недостатня увага до безпеки з боку вебмайстрів.
Як сьогодні вирішити цю проблему, ускладнити поганим хлопцям завдання злому вашого сайту і обезапасіть себе таким чином. Можна замовити аудит коду у сторонньої організації, погодьтеся цей підхід не дешевий. Можна просканувати сайт спеціальними програмами на подобу Acunetix Web Vulnerability Scanner на предмет грубих помилок в налаштуванні безпеки сайту. Це і правильна ручна настройка сервера, PHP і баз даних.
На наших серверах також багато уваги приділяється проблемам безпеки. По-перше по віртуальних хосту включена опція open_basedir обмежує скриптів кожного конкретного сайту папкою адміністратора цього сайту. Деякі можна сказати не зовсім грамотно написані скрити нехтують тим що на сервері можливо включена ця опція і відповідно не правильно працюють, але на жаль це необхідний захід безпеки і це треба враховувати. Ваші скрипти не повинні ходити далі вашого каталогу на сервері!
Ось не повний список можливостей плагіна Suhosin:
- додані функції sha256 (). sha256_file () і підтримка blowfish для всіх платформ;
- кодування Cookies і даних сесії;
- заборона вставки URL, закачування файлів і доступу до довільних файлів, верифікація завантажених файлів через зовнішній скрипт, заборона завантаження - виконуваних файлів, видалення двійкових даних з завантаження;
- відключення функції eval (), запуск додатків з використанням eval () із застосуванням білого і чорного списків;
- примусова установка максимальної глибини рекурсії;
- підтримка віртуальних вузлів і каталогів, що настроюються через чорний і білий списки;
- захист від переривання HTTP-заголовка (HTTP Response Splitting);
- захист глобальних змінних від ex t rac t і import_request_vars, а також від скриптів, що маніпулюють memory_limit;
- захист від довгих і неправильних ідентифікаторів сесії;
- фільтрування ASCII-символів;
- ігнорування змінних GET, POST, COOKIE з цілим рядом параметрів;
- установка лімітів ряду змінних REQUEST.
Установка патча для власників VDS серверів досить проста.
Треба відзначити в що коментарях до файлу php.ini популярної серверної операційної системи FreeBSD, яка встановлена на наших серверах віртуального хостингу, рекомендовано встановити плагін Suhosin для підвищення безпеки PHP.
Установка Suhosin на FreeBSD:
Викачуємо останню версію:
siteko # gunzip suhosin-0.9.31.tgz
siteko # tar xvf suhosin-0.9.31.tar
Переходимо в каталог з отриманим дістрібютіва:
siteko # cd suhosin-0.9.31
Компілюємо PHP з Suhosin:
siteko # phpize
siteko # ./configure
siteko # make make install
Далі додаємо extension = suhosin.so в файл php.ini або файл extensions.ini якщо він є.
Він розташовується як правило: /usr/local/etc/php.ini або /usr/local/etc/php/extensions.ini
перезавантажуємо Apache
siteko # apachectl restart
Установка Suhosin на CentOS:
Додаємо тестовий репозитарій в якому є остання версія Suhosin:
Установка пакета з цього сховища:
yum --enablerepo = c5-testing install php-suhosin
suhosin.ini буде розташовуватися в /etc/php.d.
Установка в Debian Etch:
Знаходження пакета для нашої версії PHP:
apt-cache search suhosin
php4-suhosin - advanced protection module for php4
php5-suhosin - advanced protection module for php5
apt-get install php5-suhosin
suhosin.ini повинен розташовуватися в /etc/php5/conf.d.
Налаштування Suhosin
Всі настройки Suhosin виробляються в файлі php.ini. Перший запис, яка повинна бути обов'язково поміщена в файл, - це підключення модуля
suhosin.so
У написанні статті використано матеріали зі статті:
Яремчук С. Захищаємо PHP-додатки за допомогою Suhosin
//Системний адміністратор