Установка и настройка патча безопасности php5-suhosin

Suhosin (кор. 수호신 — «ангел-хранитель») — патч для PHP с открытым исходным кодом, выпущенный под лицензией PHP, предназначенный для повышения защиты сервера от действий злоумышленника. Включён по умолчанию в состав PHP в некоторых дистрибутивах Linux, а также в Mac OS X Server. Используется на серверах проекта One Laptop Per Child, домашней странице Ubuntu и Википедии. Также в репозитории Ubuntu имеется пакет php5-suhosin, позволяющий включить дополнительные возможности, помимо базовых, которые у Ubuntu уже имеются в php5 и php5-fpm.

Вебсерверы подвержены атакам злоумышленников. Как решить эту проблему и обезапасить сайт. Можно просканировать сайт специальными програмами на предмет грубых ошибок в настройке безопасности сайта. А так же правильно настроить сервера, PHP и базы данных.
По возможности каждому виртуальному хосту должна быть включена опция open_basedir ограничивающая скриптам каждого конкретного сайта доступ только к папке администратора этого сайта. Скрипты не должны ходить дальше вашего каталога на сервере!

Патч PHP - Suhosin поможет избавиться от целого ряда проблем в приложениях и ядре PHP.
Разработчики Suhosin open sourse приложения ставят своей задачей защитить сервер от таких атак как: PHP Include, SQL Injection, Cross site scripting (XSS) и других атак направленных на веб-сервисы. Полный список возможностей приведен на сайте разработчика Suhosin: http://www.hardened-php.net/suhosin/a_feature_list.html.
Вот не полный список возможностей плагина Suhosin:

  • добавлены функции sha256( ) , sha256_file() и поддержка blowfish для всех платформ;
  • кодирование Cookies и данных сессии;
  • запрещение вставки URL, закачки файлов и доступа к произвольным файлам, верификация загруженных файлов через внешний скрипт, запрет загрузки - исполняемых файлов, удаление двоичных данных из загружаемого файла;
  • отключение функции eval(), запуск приложений с использованием eval() с применением белого и черного списков;
  • принудительная установка максимальной глубины рекурсии;
  • поддержка виртуальных узлов и каталогов, настраиваемых через черный и белый списки;
  • защита от прерывания HTTP-заголовка (HTTP Response Splitting);
  • защита глобальных переменных от ex t rac t и import_request_vars, а также от скриптов, манипулирующих memory_limit;
  • защита от длинных и неправильных идентификаторов сессии;
  • фильтрование ASCII-символов;
  • игнорирование переменных GET, POST, COOKIE с целым рядом параметров;
  • установка лимитов ряду переменных REQUEST.

Установка Suhosin на Ubuntu:

apt-get install php5-suhosin

После установки файл конфигурации suhosin.ini должен располагаться в /etc/php5/conf.d.

Настройка Suhosin

Все настройки Suhosin производятся в файле php.ini или в /etc/php5/conf.d/suhosin.ini в зависимости от дистрибутива ОС.

Отключить логи:

suhosin.log.syslog = off

Отключить suhosin через .htaccess:

php_flag suhosin.simulation 1

Опции настроек Suhosin доступны на оффициальном сайте проекта:
http://www.hardened-php.net/suhosin/configuration.html

Метки: . Закладка Постоянная ссылка.

Один комментарий к "Установка и настройка патча безопасности php5-suhosin"

  1. Muser пишет:

    При переносе одного старого проекта на новый сервер возникла проблема: из формы с большим количеством полей не передавались все данные. При этом в syslog падала ошибка:
    suhosin[23268]: ALERT – configured POST variable limit exceeded
    Причиной оказались настройки Suhosin в /etc/php5/conf.d/suhosin.ini.
    После увеличения следующих параметров с 1000 до 5000, проблема была решена:
    suhosin.request.max_vars
    suhosin.post.max_vars

Добавить комментарий

Ваш e-mail не будет опубликован.

*