Instalat ca modul Apache

Când PHP este utilizat ca modul în Apache, el moștenește permisiunile implicite ale Apache (de obicei acelea ale utilizatorului "nobody"). Acest fapt are mai multe impacte asupra securității și autorizării. De exemplu, dacă utilizați PHP pentru a accesa o bază de date, și dacă aceasta nu are control de acces inclus, va trebui să faceti această bază de date să fie accesibilă utilizatorului "nobody". Aceasta înseamnă că un script malefic va putea accesa și modifica baza de date chiar fără a introduce numele utilizatorului și parola. Este posibil ca un robot de indexare web să acceseze accidental panoul de administrare al bazei de date și să modifice sau să șteargă toate datele. Vă puteți proteja cu ajutorul sistemului de autorizare al Apache, sau printr-un model de acces personalizat folosind LDAP, fișiere tip .htaccess, etc. pe care să le introduceți în scripturile PHP create.

Adesea, după ce politica de securitate a fost stabilită, iar utilizatorul PHP (în acest caz, utilizatorul Apache) prezintă risc redus față de sistem, iese la iveală faptul că PHP este restricționat în a scrie în fișierele și directoarele utilizatorilor, sau nu poate accesa și schimba anumite baze de date. El a fost securizat atât în a scrie fișiere bune, cât și rele, sau inserarea de tranzacții atât benefice, cât și dăunătoare bazelor de date.

O greșeală de securitate frecventă este că atunci când se ajunge în acest moment, să se dea permisiuni de root serverului Apache, sau să se extindă permisiunile într-un careva alt mod.

Extinderea privilegiilor utilizatorului Apache către root este deosebit de periculoasă și poate duce la compromiterea întregului sistem, așa că operațiunile 'sudo', 'chroot', sau alte modalități de a rula root nu ar trebui luate în considerare în caz că nu sunteți expert în securitare.

Există și soluții mai simple. Utilizând open_basedir puteți controla și restricționa ce directorii doriți, în care poate avea acces PHP. În plus puteți stabili zone numai pentru Apache, pentru a preveni toate acțiunile din web asupra fișierelor utilizatorilor și de sistem.

Filesystem Security

Cazul 4: interpretorul PHP se află în afara directorului rădăcină web

[edit] Last updated: Thu, 12 Jan 2012

add a note User Contributed Notes Instalat ca modul Apache

Vikanich 13-Aug-2008 10:41


Big thanks to "daniel dot eckl at gmx dot de" but i have to change his config, because it doesn't work (may be wrong syntax).

I have add only this string to VirtualHost config and it works.

php_admin_value open_basedir  /www/site1/

Now all php scripts are locked in the directory.

Kibab 30-Sep-2005 12:56


I'm running Windows version of Apache with php as module. System is Windows XP Service Pack 2 on NTFS filesystem. To avoid potential security problems, I've set Apache to run under NT AUTHORITY\Network Service account, and there is only one directory, named Content, with Full Access for this account. Other directories are either not accessible at all or with readonly permissions (like %systemroot%)... So, even if Apache will be broken, nothing would happen to entire system, because that account doesn't have admin privilegies :)

tifkap 01-Mar-2004 08:21


There is a safe way to support a lot of users in a secure way, without having to use CGI, in a way which is probebly faster

than mod_php.



Use FastCGI, with the SuExecWrapper set to your suid wrapper. It means every user wil get his own program-group, with processes

which are being reused. If the numer of processes that is being 

started on startup is 0, then the processgroup for a user will be generated when needed.



This means: The first page is slow, after that the Zend Engine  caching kicks in. When the load on the virtualhost reduces, the

processes wil die off, and extra processes for a user-process-group 

will only be started when (again) needed.



Your apache will be a LOT! lichter, because it won't have to drag all

the php-memory overhead with it. This means static content is 

faster, and the whole system uses less memory. 

The PHP itself also won't need to drag along the apache overhead.



If for one reason or the other php craches, your apache will simple 

start some new php-processes. If you want to upgrade/patch php, 

you can simple create the new fastcgi binary, and after testing, you can simple update the system by copying it, and maybe doing a 

'apachectl gracefull'



In short :  Sepparating distinct functions in different processes 

                communicating useing IPC methodes can be very good

                for performance and security. The best example of this

                principle at work is Postfix, where every process runs 

                chroot() under its own uid.



http://wiki.openisis.org/i/view/Php/HowtoFastCgi

Georgee at CWC 30-Apr-2003 12:16


Additional CAUTION to anyone trying Pollux's solution:

It's kind a good. Probably works right. I think I'll give it a try myself. BUT...

its safe ONLY on the assumption that apache is 100% CLEAN. (codes and confs.) Any flaws on apache, almost ANYTHING could happen to ALL users -precisely, web users. (Because apache is a member of ALL -again, web user's- GID.) So, leeps's hint should be one of the important things.



There is nothing close to perfect. What I wrote is just one thing you'll have to keep in mind. So, consider carefully BEFORE you try this solution. (Well, this applies to any other solutions though...)

leeps 09-Mar-2003 10:59


@pollux: additionally, tell your users to set their file-permissions to

- r-- (group) for files

- --x (group) for directories.



this disables the webserver to browse user's directory. if you don't know the filename, you cannot open it, e.g. by running malicious php-code through one of the users scripts.

daniel dot eckl at gmx dot de 07-Aug-2002 10:16


There is a better solution than starting every virtual host in a seperate instance, which is wasting ressources.



You can set open_basedir dynamically for every virtual host you have, so every PHP script on a virtual host is jailed to its document root.



Example:

<VirtualHost www.example.com>

  ServerName www.example.com

  DocumentRoot /www-home/example.com

[...]

  <Location />

    php_admin_value open_basedir     \ "/www-home/example.com/:/usr/lib/php/"

  </Location>

</VirtualHost>



If you set safe_mode on, then the script can only use binaries in given directories (make a special dir only with the binaries your customers may use).



Now no user of a virtual host can read/write/modify the data of another user on your machine.



Windseeker

add a note