1

Установка и настройка патча безопасности php5-suhosin

Опубликовано:

Suhosin (кор. 수호신 — «ангел-хранитель») — патч для PHP с открытым исходным кодом, выпущенный под лицензией PHP, предназначенный для повышения защиты сервера от действий злоумышленника. Включён по умолчанию в состав PHP в некоторых дистрибутивах Linux, а также в Mac OS X Server. Используется на серверах проекта One Laptop Per Child, домашней странице Ubuntu и Википедии. Также в репозитории Ubuntu имеется пакет php5-suhosin, позволяющий включить дополнительные возможности, помимо базовых, которые у Ubuntu уже имеются в php5 и php5-fpm.

Вебсерверы подвержены атакам злоумышленников. Как решить эту проблему и обезапасить сайт. Можно просканировать сайт специальными програмами на предмет грубых ошибок в настройке безопасности сайта. А так же правильно настроить сервера, PHP и базы данных.
По возможности каждому виртуальному хосту должна быть включена опция open_basedir ограничивающая скриптам каждого конкретного сайта доступ только к папке администратора этого сайта. Скрипты не должны ходить дальше вашего каталога на сервере!

Патч PHP — Suhosin поможет избавиться от целого ряда проблем в приложениях и ядре PHP.
Разработчики Suhosin open sourse приложения ставят своей задачей защитить сервер от таких атак как: PHP Include, SQL Injection, Cross site scripting (XSS) и других атак направленных на веб-сервисы. Полный список возможностей приведен на сайте разработчика Suhosin: http://www.hardened-php.net/suhosin/a_feature_list.html.
Вот не полный список возможностей плагина Suhosin:

  • добавлены функции sha256 ( ) , sha256_file () и поддержка blowfish для всех платформ;
  • кодирование Cookies и данных сессии;
  • запрещение вставки URL, закачки файлов и доступа к произвольным файлам, верификация загруженных файлов через внешний скрипт, запрет загрузки — исполняемых файлов, удаление двоичных данных из загружаемого файла;
  • отключение функции eval (), запуск приложений с использованием eval () с применением белого и черного списков;
  • принудительная установка максимальной глубины рекурсии;
  • поддержка виртуальных узлов и каталогов, настраиваемых через черный и белый списки;
  • защита от прерывания HTTP-заголовка (HTTP Response Splitting);
  • защита глобальных переменных от ex t rac t и import_request_vars, а также от скриптов, манипулирующих memory_limit;
  • защита от длинных и неправильных идентификаторов сессии;
  • фильтрование ASCII-символов;
  • игнорирование переменных GET, POST, COOKIE с целым рядом параметров;
  • установка лимитов ряду переменных REQUEST.

Установка Suhosin на Ubuntu:

apt-get install php5-suhosin

После установки файл конфигурации suhosin.ini должен располагаться в /etc/php5/conf.d.

Настройка Suhosin

Все настройки Suhosin производятся в файле php.ini или в /etc/php5/conf.d/suhosin.ini в зависимости от дистрибутива ОС.

Отключить логи:

suhosin.log.syslog = off

Отключить suhosin через .htaccess:

php_flag suhosin.simulation 1

Понравилась статья, расскажи о ней друзьям, нажми кнопку!

Комментирование закрыто.