RSS Feed

Debian Squeeze Apache i moduł suphp, który jednak działa

Wrzesień 6, 2012 by 0verlord

SuPHP to taki ładny wrapper poprawiający bezpieczeństwo serwera www, jeżeli gościmy na nim bandę dzikich skryptów a jeszcze dzikszych userów. Pozwala na uruchamianie skyptów php z takim uidem jak ma owner plików na serwerze. Proste, skuteczne. Oczywiście mniej wydajne niż php bez tego wynalazku, ale jak to zwykle bywa, jest to odwieczna walna: bezpieczeństwo kontra funcjonalność/wydajność.

Jeżeli po instalacji modułu, skrypty dalej wykonują się z prawami usera www (np. w defaultowej instalacji: www-data) trzeba wyłączyć, powtarzam wyłączyć moduł php5. Restart apacza i działa.
Niby to jest w dokumentacji i niby o tym czytałem, ale na działającym wcześniej serwerze, to mi już drugi raz umknęło i debugowałem jak ostatni baran :-/

Zainstalować moduł:
aptitude install libapache2-mod-suphp
a2dismod php5
a2enmod suphp
/etc/init.d/apache2 restart

A reszta to już manipulacja w konfigu:

/etc/suphp/suphp.conf

i czytanie loga w domyślnej lokalizacji:

/var/log/suphp/suphp.log

Sprawdzamy, umieszczając w katalogu, np. domowym public_html, np.taki „skrypt”.

<?php system('/usr/bin/id'); ?>

Efekt w przeglądarce powinien wyglądać jakoś tak:

uid=1002(miszcz) gid=100(users) groups=1003(miszcz),4(mrocznaadministracja)

Ku pamięci.

EDIT: i oczywiście, jak już popełniłem posta, to znalazłem setkę tutoriali które mówią dokładnie to samo co ja teraz ;-). Odpowiedzią na źle zadane pytanie jest milczenie, po prostu.


Brak komentarzy »

No comments yet.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

trzydzieści dziewięć − trzydzieści dwa =