Установка и настройка патча безопасности php5-suhosin
Suhosin (кор. 수호신 — «ангел-хранитель») — патч для PHP с открытым исходным кодом, выпущенный под лицензией PHP, предназначенный для повышения защиты сервера от действий злоумышленника. Включён по умолчанию в состав PHP в некоторых дистрибутивах Linux, а также в Mac OS X Server. Используется на серверах проекта One Laptop Per Child, домашней странице Ubuntu и Википедии. Также в репозитории Ubuntu имеется пакет php5-suhosin, позволяющий включить дополнительные возможности, помимо базовых, которые у Ubuntu уже имеются в php5 и php5-fpm.
Вебсерверы подвержены атакам злоумышленников. Как решить эту проблему и обезапасить сайт. Можно просканировать сайт специальными програмами на предмет грубых ошибок в настройке безопасности сайта. А так же правильно настроить сервера, PHP и базы данных.
По возможности каждому виртуальному хосту должна быть включена опция open_basedir ограничивающая скриптам каждого конкретного сайта доступ только к папке администратора этого сайта. Скрипты не должны ходить дальше вашего каталога на сервере!
Патч PHP — Suhosin поможет избавиться от целого ряда проблем в приложениях и ядре PHP.
Разработчики Suhosin open sourse приложения ставят своей задачей защитить сервер от таких атак как: PHP Include, SQL Injection, Cross site scripting (XSS) и других атак направленных на веб-сервисы. Полный список возможностей приведен на сайте разработчика Suhosin: http://www.hardened-php.net/suhosin/a_feature_list.html.
Вот не полный список возможностей плагина Suhosin:
- добавлены функции sha256 ( ) , sha256_file () и поддержка blowfish для всех платформ;
- кодирование Cookies и данных сессии;
- запрещение вставки URL, закачки файлов и доступа к произвольным файлам, верификация загруженных файлов через внешний скрипт, запрет загрузки — исполняемых файлов, удаление двоичных данных из загружаемого файла;
- отключение функции eval (), запуск приложений с использованием eval () с применением белого и черного списков;
- принудительная установка максимальной глубины рекурсии;
- поддержка виртуальных узлов и каталогов, настраиваемых через черный и белый списки;
- защита от прерывания HTTP-заголовка (HTTP Response Splitting);
- защита глобальных переменных от ex t rac t и import_request_vars, а также от скриптов, манипулирующих memory_limit;
- защита от длинных и неправильных идентификаторов сессии;
- фильтрование ASCII-символов;
- игнорирование переменных GET, POST, COOKIE с целым рядом параметров;
- установка лимитов ряду переменных REQUEST.
Установка Suhosin на Ubuntu:
apt-get install php5-suhosin
После установки файл конфигурации suhosin.ini должен располагаться в /etc/php5/conf.d.
Настройка Suhosin
Все настройки Suhosin производятся в файле php.ini или в /etc/php5/conf.d/suhosin.ini в зависимости от дистрибутива ОС.
Отключить логи:
suhosin.log.syslog = off
Отключить suhosin через .htaccess:
php_flag suhosin.simulation 1
Читайте другие интересные статьи
httpd.conf на Русском языке / Настройка Apache
Автоматическая загрузка Ubuntu с нерабочим RAID
How to create a Ubuntu 12.04 x64 LTSP server with 32bit thin clients
Стабильное вещание IPTV через VLC
Управление Java classpath (UNIX и Mac OS X)
Установка и настройка OpenVPN на Debian
Копируем «битые» диски в Убунту
Удаление старых ядер из системы (Debian)
Настройка Samba
Команды для проверки нагрузки на сервер и определения DDoS атаки
Комментирование закрыто.