Mid-Atlantic Developer Conference - Call for Speakers

Güvenlik ve Güvenli Kip

Güvenlik ve Güvenli Kip Yapılandırma Yönergeleri
İsim Öntanımlı Değişlik Yeri Sürüm Bilgisi
safe_mode "0" PHP_INI_SYSTEM PHP 5.4.0'da kaldırıldı.
safe_mode_gid "0" PHP_INI_SYSTEM PHP 5.4.0'da kaldırıldı.
safe_mode_include_dir NULL PHP_INI_SYSTEM PHP 5.4.0'da kaldırıldı.
safe_mode_exec_dir "" PHP_INI_SYSTEM PHP 5.4.0'da kaldırıldı.
safe_mode_allowed_env_vars "PHP_" PHP_INI_SYSTEM PHP 5.4.0'da kaldırıldı.
safe_mode_protected_env_vars "LD_LIBRARY_PATH" PHP_INI_SYSTEM PHP 5.4.0'da kaldırıldı.
PHP_INI_* kiplerinin tanımları ve ayrıntılı açıklamaları için Yapılandırma ayarlarının yeri bölümüne bakınız.

Yapılandırma yönergelerinin kısa açıklamalarını aşağıda bulabilirsiniz.

safe_mode boolean

PHP'nin güvenli kipinin etkin olup olmayacağı. PHP --enable-safe-mode seçeneği ile derlenmişse öntanımlı olarak On (etkin), aksi takdirde Off'tur (etkisiz).

Uyarı

Bu özelliğin kullanımı PHP 5.3.0 itibariyle ÖNERİLMEMEKTE olup PHP 5.4.0'da tamamen KALDIRILMIŞTIR.

safe_mode_gid boolean

Dosya erişiminde UID (FALSE) veya GID (TRUE) denetimi yapılıp yapılmayacağı. Öntanımlı olarak güvenli kipte, dosyalar açılırken bir kullanıcı kimliği (UID) karşılaştırması yapılır. Bunu grup kimliğini (GID) denetleterek esnetmek isterseniz safe_mode_gid yönergesine On değerini atayabilirisiniz.

safe_mode_include_dir string

UID/GID denetimleri bu dizinde ve alt dizinlerinde es geçilir. (Dizinin ya tam yolu belirtilmeli ya da include_path yönergesinde de belirtilmelidir).

Bu yönergede include_path yönergesinde olduğu gibi, tek bir dizin belirtmek yerine aralarına ikinokta imi (Windows'da noktalı virgül imi) koymak suretiyle birden fazla dizin belirtilebilmektedir. Belirtilen dizinin sonuna bir bölü çizgisi konmadıkça dizin ismi bir önek olarak değerlerdirilir. Örneğin, "safe_mode_include_dir = /dir/incl" ile (varsa) hem "/dir/include" hem de "/dir/incls" dizini belirtilmiş olur. "safe_mode_include_dir = /dir/incl/" durumunda ise sadece /dir/incl dizini belirtilmiş olur. Bu yönergede boş değer belirtilirse farklı UID/GID'e sahip hiçbir dosya dahil edilmez.
safe_mode_exec_dir string

PHP güvenli kipte kullanılıyorsa system() ve sistem programlarını çalıştırılan diğer işlevlerin bu dizinde olmayan programları çalıştırmasına izin verilmez. Windows dahil tüm ortamlarda dizin ayracı olarak / kullanmanız gerekir.

safe_mode_allowed_env_vars string

Bazı ortam değişkenlerinin kullanımı güvenlik açığı riski içerir. Bu yönergede virgül ayraçlı bir liste olarak önekler belirtilir. Güvenli kipte, kullanıcıların sadece bu yönergede önekleri belirtilen ortam değişkenlerini değiştirmelerine izin verilir. Kullanıcılar öntanımlı olarak sadece PHP_ ile başlayan ortam değişkenlerinde değişiklik yapabilirler (PHP_FOO=BAR gibi).

Bilginize:

Bu yönergede boş değer belirtilmişse kullanıcıların tüm ortam değişkenlerinde değişiklik yapmalarına izin verilir!

safe_mode_protected_env_vars string

Bu yönergede, son kullanıcının putenv() kullanarak değiştiremeyeceği ortam değişkenleri virgül ayraçlı bir liste olarak belirtilir. Bu değişkenlerin önekleri safe_mode_allowed_env_vars yönergesinde belirtilmiş olsalar dahi, değiştirilmelerine izin verilmez.

Ayrıca bakınız: open_basedir, disable_functions, disable_classes, register_globals, display_errors ve log_errors.

safe_mode yönergesinin değeri On olduğu takdirde, PHP, betik sahibinin üzerinde çalışılan dosya veya dizin sahibiyle eşleşip eşleşmediğini denetler. Örneğin,

<?php
 readfile
('/etc/passwd');
?>
kodunu içeren betik.php betiği,
-rw-rw-r--    1 rasmus   rasmus       33 Jul  1 19:20 betik.php
-rw-r--r--    1 root     root       1116 May 26 18:01 /etc/passwd
ortamında çalıştırılırsa, güvenli kip etkin olduğu takdirde işlem şöyle bir hatayla sonuçlanır:
Warning: SAFE MODE Restriction in effect. The script whose uid is 500 is not
allowed to access /etc/passwd owned by uid 0 in /docroot/betik.php on line 2

Bununla birlikte, kesin UID sınamasının uygun olmadığı, esnek GID sınamasının yeterli olduğu sistemler olabilir. Bu durum, safe_mode_gid yönergesi ile sağlanabilir. Bu yönergeye On değeri vererek esnek GID sınaması, Off değeri (öntanımlıdır) vererek UID sınaması yaptırmak mümkündür.

safe_mode yönergesini etkin kılmak yerine, tüm dosya işlemlerini belli bir dizin altındaki dosyalarla sınırlamak için open_basedir yönergesini kullanabilirsiniz. Örneğin, bunu Apache httpd.conf dosyasında şöyle yapabilirsiniz:

<Directory /docroot>
  php_admin_value open_basedir /docroot
</Directory>
Önceki örnekteki betik.php dosyanızı bu open_basedir ayarı ile kullanırsanız şöyle bir sonuç alırsınız:
Warning: open_basedir restriction in effect. File is in wrong directory in
/docroot/betik.php on line 2

Ayrıca, işlevleri tek tek de iptal etmek mümkündür. Ancak, disable_functions yönergesi php.ini dosyası dışında kullanılamaz. Yani, bazı işlevlere erişimi, httpd.conf dosyanızda sanal konak veya dizin temelinde yasaklayamazsınız. php.ini dosyanızda şöyle bir satır varsa:

disable_functions = readfile,system
betik.php dosyanızdan şöyle bir sonuç alırsınız:
Warning: readfile() has been disabled for security reasons in
/docroot/betik.php on line 2

Uyarı

Şüphesiz, bu PHP kısıtlamaları çalıştırılabilir dosyalar için geçerli değildir.

add a note add a note

User Contributed Notes 2 notes

up
7
rayro at gmx dot de
9 years ago
Theres a failure with open_basedir and per-host configuration
in apache as described in bug #42836: http://bugs.php.net/bug.php?id=42836

I got the same errors on my development windows system and apache 2.2.4 with php 5.3.beta1.

This error (or similar) is shown:
Warning: Unknown: open_basedir restriction in effect. File(...)
is not within the allowed path(s): (� �� �@5�,�)

Fix:
  - try slashes at the end of the folder name
  or
  - put "php_admin_value open_basedir ..." at first of all in the configuration
up
0
Anonymous
17 days ago
bad/missing config values for the Plesk server running the whole thing. I just followed the directions here: https://vb.3dlat.com/

You can configure PHP to have a separate error log file for each VirtualHost definition. The trick is knowing exactly how to set it up, because you can’t touch the configuration directly without breaking Plesk. Every domain name on your (dv) has its own directory in /var/www/vhosts. A typical directory has the following top level directories:

cgi-bin/
conf/
error_docs/
httpdocs/
httpsdocs/
...and so on

You’ll want to create a vhost.conf file in the domain directory’s conf/ folder with the following lines:

php_value error_log /path/to/error_log
php_flag display_errors off
php_value error_reporting 6143
php_flag log_errors on

Change the first value to match your actual installation (I used /tmp/phperrors.log). After you’re done editing the vhost.conf file, test the configuration from the console with:

apachectl configtest
…or if you don’t have apachectl (as Plesk 8.6 doesn’t seem to)…

/etc/init.d/httpd configtest

And finally tell Plesk that you’ve made this change.

/usr/local/psa/admin/bin/websrvmng -a
To Top