Debian php Installation mit suhosin abhärten

PHP weist eine lange Geschichte von Sicherheitslücken und Probleme auf, die sich mit einer Menge von Patches und Fixes beheben lassen.
Eins der Projekte die solche Patches anbieten ist Hardened PHP, wo ich auch das Projekt Suhosin gefunden habe, über das ich heute schreibe.

Werbung


Was z.b. immer ein Problem ist, sind Applikationen, die unsauber geschrieben sind. Suhosin kann im Hintergrund Cookie-Verschlüsselung und anderes (alle Features) übernehmen. Zunächst legen wir eine Datei mit folgendem Inhalt an:
[code]< ?php
phpinfo();
?>[/code]

Die Installation des Patches ist unter Debian ganz einfach:
Für PHP4: apt-get install php4-suhosin
Für PHP5: apt-get install php5-suhosin

Sollte das bei Ihnen nicht gefunden werden, müssen Sie zusätzlich in der /etc/apt/source.list die folgenden Quellen eintragen:
[code]deb http://dotdeb.netmirror.org/ sarge all
deb-src http://dotdeb.netmirror.org/ sarge all[/code]
Sollten Sie eine andere „Sorte“ Debian nutzen (z.B. edge) so müssen Sie die Codewörter hinten anpassen.

Nun sollte der apache2 restartet werden

Wenn man nun phpinfo wieder aufmacht, sollte etwas von suhosin zu finden sein.

Als Test ob Suhosin arbeitet, könnte man folgendes machen:
[code]echo suhosin.executor.func.blacklist=“phpinfo“ >>/etc/php4/conf.d/suhosin.ini
/etc/init.d/apache2 restart[/code]
Natürlich muss man die php Version entsprechend wählen 😛 (also /etc/php5/ wenn PHP5)

Wenn man nun die phpinfo wieder aufruft, wird nur ein Fehler im Log auftauchen…

Um das wieder zu entfernen sollte in der Datei /etc/php4/conf.d/suhosin.ini wieder die letzte Zeile entfernen.

Natürlich kann Suhosin mehr als nur Funktionen zu blacklisten, was aber alles hier beschrieben ist.

Gruss Uli

Veröffentlicht von

Uli

Uli ist ein begeisterter Blogger mit Hang zur IT. Mit verschiedenen Beiträgen stellt er Gadgets vor, bringt den Lesern IT nahe und zeigt seine Photos dem Netz.

4 Gedanken zu „Debian php Installation mit suhosin abhärten“

  1. ne gute Erklärng… nur klappt bei mir ein Installieren per apt-get nicht da er das Paket nicht findet.

  2. Hallo Steffen,

    danke habs angepasst, hatte die Quellen noch bei meinem Server drin, da ist mir das gar nicht aufgefallen.

    Danke und noch einen schönen Tag!

  3. Thx.. jetzt hats geklappt …
    Das einzigste was irgendwie dumm ist falls einer Confixx nutzt funzt der Log in danach nicht mehr wenn mann Pech hat.. Aber das kriech ich auch noch hin :)

    Auf jeden Falle erstmal nen großes THX

Kommentare sind geschlossen.