Ключевые слова:apache, web, php, cgi, security, (найти похожие документы)
From: Stricty <me@strict.spb.ru>
Subject: Безопасная настройка PHP для виртуального хостинга на UNIX
Оригинал: http://strict.spb.ru/php4unix.html
Ссылка получена с http://www.nixp.ru
Обсудить: http://strict.spb.ru/cgi-bin/robboard.cgi?action=display&num=3
Безопасная настройка PHP для виртуального хостинга на UNIX
Предисловие
Приходится признать, что операционные системы Windows не
собираются уходить в небытиё. Игнорировать этот факт нельзя, поэтому
нужно научиться мирно сосуществовать с таковыми. Как известно, UNIX
предоставляет удобные средства работы с TCP/IP и Internet, тогда как
именно в Windows работают миллионы пользователей. А на долю системных
администраторов выпадает управление всем этим "сатанинским шабашем".
"UNIX. Руководство системного администратора. Издание 3",
предисловие к главе 26.
Hашла на меня блажь настроить на моём сервере модуль PHP к вэб
серверу Apache. Я, конечно, успела наслушаться о том что там какие-то
запутки с настройками безопасности использования PHP, некоторые
определила в процессе стряпания страничек и тут, как нельзя кстати,
мне подвернулся в каком-то форуме Phil <schors@nm.ru>, очень мило помогший не
наступить на грабли трижды. Собственно, эта страничка - наш с ним
совместный труд к общей пользе. Hе могу сказать, что тут что-то
изобретено нами, но зато всё собрано нами любимыми в одну кучку.
Здесь я предлагаю свой вариант как максимально обезопасить
совместное использование PHP/SSI/CGI на UNIX-like системах с
использованием веб сервера Apache и размещении различных виртуальных
хостов на одном IP. Я не буду морочить голову ненужными подробностями,
предлагая каждому посетителю странички ознакомиться с командами
unix-shell и особенностями компиляции и настройки упоминаемого
программного обеспечения самостоятельно. Если кто-то найдёт это для
себя сложным, то ему лучше перейти на какую-нибудь другую, более
увлекательную страничку, поиграть в сисадмина.
Я намеренно обошла вниманием запуск PHP-скриптов как CGI - там и
так всё ясно. В ту же кучу я отмела и проблемы PHP на выделенном
сервере.
День первый
Итак, я прыгаю в мягкое кресло, пристраиваю клаву у себя
коленках и бодренько так стукаю по кнопке питания (не меня, а компа
:). У меня стоит FreeBSD (для пингвиноидов буду делать специальные
коментарии, если чего забуду - дёргайте за рукав), свеженький Apache,
настроенный для работы от имени пользователя apache, входящего только
в группу apache, с приложенными к Apache'у suexec'ом и PHP. Сейчас я
настрою для пользователя stricty, входящему только в группу stricty и
имющему домашний каталог /home/stricty, систему, чтобы stricty могла
размещать свой сайт не боясь злых "соседей" буде таковые объявятся.
Да, рассаживайтесь рядом поудобнее, потому что пока мы тут болтали
система уже загрузилась и можно начинать. Все устроились? Отлично!
Теперь дружно отвернулись, так как я собираюсь залогиниться root'ом...
Сила привелегий
Я буду делать всё по порядку. Hачинаю с каталога, базового для
домашних каталогов пользователей, то есть /home. Я запрещаю абсолютно
всем запись в этот каталог и разрешу переходить в него. Затем я
назначаю владельцем /home пользователя apache и группу apache. ...Я
что, забыла попросить повернуться обратно?.. Быстренько
поворачиваемся, я уже давно объясняю. Только пользователю и группе
apache и никому больше я разрешаю читать этот каталог. Теперь можете
быть уверены - изменить каталог сможет только суперпользователь,
прочитать сможет ещё и пользователь apache, а перейти ниже этого
каталога - любые пользователи.
root@strict:~# chown apache:apache /home
root@strict:~# chmod ug=rx,o=x /home
root@strict:~# ls -l / | grep home
dr-xr-x--x 2 apache apache 512 Jan 17 02:30 /home
root@strict:~#
Очень нежно подходим к домашнему каталогу для stricty - это мой
дом, в котором будут жить мои mp3шки, рассказы и сайт. Печальный опыт
показал, что придётся пожертвовать домашний каталог /home/stricty
пользователю apache, но оставить в группе stricty. Что и делаем. И
владелцу и группе разрешаем чтение и переход в этот каталог, запись
разрешаем только мне, то есть группе stricty. Всем остальным ничего не
разрешаем. Внимательно смотрим! Hасмотрелись? Так, отводим взгляды от
меня, смотрим на экран и осознаём - ниже каталога stricty могут
перемещаться только пользователь apache и члены группы stricty -
собственно, сама stricty. Без дополнительных ухищрений ни один сосед
не может теперь пролезть ко мне в дом и я могу смело размещать в нём
интимную информацию - например, фотографию моей любимой кошечки.
root@strict:~# chown apache:stricty /home/stricty
root@strict:~# chmod ug=rx,g+w,o-rwx /home/stricty
root@strict:~# ls -l /home
dr-xrwx--- 2 apache stricty 512 Jan 17 02:35 /home/stricty
root@strict:~#
Для того, чтобы ошибки моих скриптов не могли испортить
структуры каталогов, используемых в служебных целях, и для придания
аккуратности моему дому, создаю в нём каталог www, принадлежащий
пользователю apache и группе apache.
root@strict:~# mkdir /home/stricty/www
root@strict:~# chown apache:apache /home/stricty/www
root@strict:~# chmod a=rx /home/stricty/www
root@strict:~# ls -l /home/stricty | grep www
dr-xr-xr-x 2 apache apache 512 Jan 17 02:43 /home/stricty/www
root@strict:~#
Вот и всё. Создаю каталоги для страничек и скриптов,
принадлежащие, естественно мне, каталоги для логов и временных файлов,
принадлежащие пользователю apache. Права доступа выставляем по
потребностям - странички и скрипты должны быть читаемыми и запусаемыми
Apache'м, и полностью контролируемыми мною, логи должны быть доступны
на запись Apache'у и читаемы мною, каталог с временными файлами должен
быть доступен для всех по всем параметрам.
root@strict:~# mkdir /home/stricty/www/html
root@strict:~# mkdir /home/stricty/www/cgi
root@strict:~# chown stricty:stricty /home/stricty/www/html /home/stricty/www/c
gi
root@strict:~# chmod u=rwx,go=rx /home/stricty/www/html /home/stricty/www/cgi
root@strict:~# mkdir /home/stricty/www/logs
root@strict:~# mkdir /home/stricty/www/tmp
root@strict:~# chown apache:apache /home/stricty/www/logs /home/stricty/www/tmp
root@strict:~# chmod u=rwx,go=rx /home/stricty/www/logs
root@strict:~# chmod a=rwx /home/stricty/www/tmp
root@strict:~# ls -l /home/stricty/www
drwxr-xr-x 2 stricty stricty 512 Jan 17 02:57 /home/stricty/www/html
drwxr-xr-x 2 stricty stricty 512 Jan 17 02:57 /home/stricty/www/cgi
drwxr-xr-x 2 apache apache 512 Jan 17 02:57 /home/stricty/www/logs
drwxrwxrwx 2 apache apache 512 Jan 17 02:57 /home/stricty/www/tmp
root@strict:~#
Конфигурирование PHP
Приступим к правке файлика php.ini. Обязательно ставим режим
safe_mode (или у Вас не все дома?). Разрешаем запуск программ только
из специального каталога (у меня он обычно пустой) и запрещаем функцию
system(). Можно этого и не делать, но представьте, что кто-то сможет
дать команду killall -9 httpd и ужаснитесь!
safe_mode=on
safe_mode_exec_dir=/home/http
disable_functions=system
Ой! Зачем же так пугаться?! Вылезайте из-за шкафа - я же
показала как исправить ситуацию, уже всё в порядке.
Осталось поправить конфигурацию веб сервера. Hахожу файл
конфигурации, у меня это /usr/local/etc/apache/httpd.conf, и внутри
директивы VirtualHost для сервера stricty добавляю разрешение
обработки скриптов PHP php_admin_flag engine on. Осталось задать
значения переменных PHP-машины open_basedir, include_path,
upload_tmp_dir, safe_mode_include_dir для ограничения области работы с
файлами моим домашним каталогом.
php_admin_flag engine on
php_admin_value open_basedir /home/stricty/
php_admin_value include_path .:/home/stricty
php_admin_value upload_tmp_dir /home/stricty/www/tmp
php_admin_value safe_mode_include_dir /home/stricty/www/tmp
Пусть всегда будет так ужасно!
Всё настроено, можно перезапустить Apache и смело идти пить
кофе. Проходите к столу и пока я варю божественный напиток,
послушайте. Когда с помощью нескольких потерь данных, бессонных ночей
и Schors'a удалось победить PHP, возникла идея избавиться от
safe_mode. Как только мы выпьем по чашечке кофе, я сяду изучать
документацию по PHP для создания режима safe_mode light. Хотя,
последуещее обязательное отслеживание изменений вносимых в каждую
версию PHP - задача не для слабонервных.
17-Jan-2003, Stricty <me@strict.spb.ru>
в большинстве случаев, включение safe_mode ни коим образом не сказывается на функционировании сайта. Большинство web-паннелей/интернет магазинов и прочего, которые требуют его отключения - требуют непонятно зачем, а производители данного ПО только и могут сказать: "у нас такая конфигурация и у нас работает. что будет при включении - не знаем". Вот это реальный бред.
Включение той или иной опции должно быть осознано. Если нужен safe_mode - вопрос один, если нет, но включили "прозапас" и включили в список обязательных требований - это тупо.