PHP Suhosin

[weau]

Hallo Habo!
Ich möchte mein System gerne noch weiter absichern und bin dabei auf Suhosin gestoßen.
Bis jetzt habe ich Suhosin ganz bequem mit apt-get installiert.
(Das patchen ist wie im IRC schon lange diskutiert immer mit einer Fehlermeldung fehlgeschlagen.)
Jetzt ist meine Frage muss man PHP mit Suhosin patchen?

Laut meiner phpinfo() wird Suhosin nämlich schon verwendet. Oder hat das nur was mit einer Aktuellen Version zu tun?

LG,weau

 

[bitmuncher]

Wenn es laut phpinfo() schon verwendet wird, ist es auch korrekt eingebunden. Wenn du das per apt installiert hast, würde es mich auch wundern, wenn dem nicht so wäre.

 

[weau]

Erspart Suhosin einem denn die Konfiguration in der PHP.ini?
D.h. muss ich in der PHP.ini keine Befehle wie exec system und der gleichen mehr sperren?
Oder einen open_basedir Pfad setzen?

 

[bitmuncher]

Suhosin gibt dir lediglich zusätzliche Einstellungsmöglichkeiten, die du in der php.ini treffen kannst. Die Doku gibt dir darüber Auskunft welche das sind: http://www.hardened-php.net/suhosin/configuration.html

 

[weau]

Original von bitmuncher
Suhosin gibt dir lediglich zusätzliche Einstellungsmöglichkeiten, die du in der php.ini treffen kannst. Die Doku gibt dir darüber Auskunft welche das sind: http://www.hardened-php.net/suhosin/configuration.html

Okay Danke.
Du bist ja Sys-Admin , kannst du Suhosin empfehlen oder schwörst du nur auf die PHP.ini?

Und was bringt jetzt dieser Patch ? Bringt der vielleicht irgendwelche Configs schon mit oder ist das im prinzip nichts anderes als der Install mit apt-get?

 

[bitmuncher]

Original von weau
Okay Danke.
Du bist ja Sys-Admin , kannst du Suhosin empfehlen oder schwörst du nur auf die PHP.ini?

Kommt auf die Anforderungen an.

Original von weau
Und was bringt jetzt dieser Patch ? Bringt der vielleicht irgendwelche Configs schon mit oder ist das im prinzip nichts anderes als der Install mit apt-get?

Der Patch ist nichts anderes als die Installation per apt. Wenn du dich damit beschäftigen würdest, was du installierst, wäre dir aufgefallen, dass du in /etc/php5/conf.d/ eine Datei namens 'suhosin.ini' hast, in der eine Beispiel-Konfiguration ist, die lediglich noch auskommentiert und angepasst werden muss.

 

[Elderan]

Hallo,

Original von weau
Okay Danke.
Du bist ja Sys-Admin , kannst du Suhosin empfehlen oder schwörst du nur auf die PHP.ini?

Suhosin zu installieren macht oft schon Sinn, manche größere Hoster haben dies z.B. auch installiert (z.B. hosteurope)

Ansonsten empfehle ich dir folgende Texte zu lesen:
(Suhosin) Why ?
Feature List

 

[weau]

Original von bitmuncher
Wenn du dich damit beschäftigen würdest, was du installierst, wäre dir aufgefallen, dass du in /etc/php5/conf.d/ eine Datei namens 'suhosin.ini' hast, in der eine Beispiel-Konfiguration ist, die lediglich noch auskommentiert und angepasst werden muss.

Die Datei ist quasi leer. Was meinst du warum ich hier Frage? Ich dachte man müsste dort jetzt noch extra Konfigurationen vornehmen. Hab das schon alles gecheckt keine Sorge ;-)

ElderanSuhosin zu installieren macht oft schon Sinn, manche größere Hoster haben dies z.B. auch installiert (z.B. hosteurope)

Danke!

Ich bin auf folgendes auf der Suhosin Seite gestoßen.

If you want additional protection for your servers and your business, we can only recommend strongly that you use the extension and the patch.

Das heißt für mich, dass der Patch doch irgendwie wichtig ist?

Edit :
Hat sich glaube ich geklärt.

For most users the Suhosin will work out of the box without any change to the default configuration needed.

 

[Elderan]

Hallo,
es gibt von Suhosin ein Patch, der glaub ich direkt im PHP Sourcecode sachen ändern und eine Erweiterung, die zusätzliche Sicherheitsfeatures hinzufügt, ohne in den PHP Code eingreifen zu müssen.

Was apt-get nun installiert, weiß ich nicht, ich geh aber mal davon aus, dass sowohl der Patch als auch die Extension installiert werden.

Ansonsten guck dir die phpinfo.php an, da muss dann einmal Suhosin patch und Suhosin Extension auftauchen.

Sieht dann in etwa so aus:
This server is protected with the Suhosin Patch 0.9.6.2
[...]
This server is protected with the Suhosin Extension 0.9.18

 

[weau]

Das taucht auf :
This program makes use of the Zend Scripting Language Engine:
Zend Engine v2.2.0, Copyright (c) 1998-2006 Zend Technologies
with Suhosin v0.9.12, (C) Copyright 2006, by Hardened-PHP Project


und die Suhosin Extension. Also scheint es zu funktionieren

 

[keksinat0r]

Bei uns laeuft ebenfalls Suhosin, und ich kann es dir nur empfehlen!
(siehe: http://fumuga.com/phpinfo/)

Suhosin behebt einige bekannte Bugs im PHP Interpreter und fuegt einige Sicherheitschecks hinzu.

zwischen Patch und Extension gibt es keine grossen Unterschiede,
der Patch wird halt fest eingebaut (musst dazu PHP halt neu kompilieren), die Extension wird nachtraeglich geladen.

Einige wenige Features gibt es allerdings nur mit dem Patch.
Wenn du via Apt "php5-suhosin" installierst, installiert es eben diesen Patch.

Wenn du irgendwelche Fragen zu Suhosin hast, schreib mir ne PN / Mail

MFG - Keks

EDIT:
PHP 5.2.1 hat bei uns Probleme in Verbindung mit Suhosin gemacht.
Es verursachte irgendwleche Probleme in der Speicherverwaltung von PHP.
5.2.5 laeuft allerdings 1A