Viktighet av og argumentering for phpsuexec/suphp

Sikkerhet i Joomla - og tilhørende elementer som server etc.

Moderators: sone12, Per Yngve Berg

Locked
User avatar
ccondrup
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 219
Joined: Tue Aug 23, 2005 9:54 am
Location: Oslo

Viktighet av og argumentering for phpsuexec/suphp

Post by ccondrup » Thu Aug 03, 2006 3:37 pm

Jeg skal sette opp en Joomla!-installasjon for en kamerat som allerede har en standard webpakke hos en host. Uten å kommentere hosten forøvrig, har jeg vært i kontakt med dem i forkant for å sjekke om de kjører php/web-tjenesten som min bruker (ftp) eller nobody eller liknende.

Det viser seg at de per dags dato ikke har verken phpsuexec eller suphp. Såvidt jeg har fått med, er phpsuexec for php/apache i cgi-mode, mens suphp er en ekstra mod til mod_apache? Korriger hvis feil. Hosten kjører iaf mod_apache i dag.

Alle mine egne hoster har lagt over til phpsuexec, og det fungerer utmerket. Den ekstra sikkerheten gir en god trygghetsfølelse, og jeg ønsker egentlig ikke å sette opp en Joomla!-installasjon på en host som ikke har denne funksjonaliteten lengre.

Min kunnskap om dette strekker ikke langt, så jeg har ikke grunnlag for å argumentere for hvorfor hosten bør få lagt inn denne funksjonaliteten - men de var ialle fall ikke villige til å installere slik funksjonalitet, med grunn "ser ingen reell grunn til å gå gjennom trøbbelet med å installere det". Jeg har ymtet frempå om tetting av sikkerhetshull og aktiv bekjempelse av hacking/cross site scripting, men uten stort hell.

Har dere noen argumenter å slå i bordet med? Er det så viktig som jeg har fått inntrykk av at det er?
Did you know there's a Joomla irc channel? Chat to Joomla people live 24/7 - Join #joomla on the Freenode network ( irc.freenode.net )

User avatar
jenscski
Joomla! Ace
Joomla! Ace
Posts: 1465
Joined: Thu Aug 18, 2005 6:58 am
Location: Tønsberg, Norway

Sv: Viktighet av og argumentering for phpsuexec/suphp

Post by jenscski » Sun Aug 06, 2006 2:25 pm

Ja, jeg synes dette er viktig.

Men har fler argumenter enn det du allerede har oppgitt. Når det gjelder forskjellen mellom phpsuexec og suphp, så kjører begge php i cgi-modus, men de har litt forskjellig måte å gjøre det på, uten at jeg skal gå inn på det her og nå.

Etter at en del sider på serverene på min leverandør av webhotell ble hacket slapp den en driftsmelding som innehold denne teksten.
Dersom du har installert et PHP4-forum som krever at visse kataloger er skrivbare for andre enn din egen bruker, anbefaler vi at du vurderer å oppgradere til PHP5 i stedet. Våre PHP5-servere kjører suphp, dvs. at alle scripts kjører med rettighetene til din egen bruker istedenfor brukeren www. Dette er mye sikrere, og man unngår bl.a. den typen problemer som har rammet noen brukere i helgen.
Det står her php4-forum, men som vi vet så trenger også Joomla! at visse kataloger er skrivbare for andre enn din bruker, så dette gjelder også Joomla!, og jeg kjører nå alle mine webhotell hos dem på PHP5 og suPHP.
Jens-Christian Skibakk
MMS Blog - http://mms.pipp.no/
Joomla! i Norge / Joomla! in Norway - http://www.joomlainorge.no/

User avatar
ccondrup
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 219
Joined: Tue Aug 23, 2005 9:54 am
Location: Oslo

Re: Viktighet av og argumentering for phpsuexec/suphp

Post by ccondrup » Mon Aug 07, 2006 6:03 pm

Takk for svar, da har jeg enda litt mer å sjekke opp, hos alle mine hoster.

Dagen etter jeg startet denne tråden, ble hosten jeg siktet til, hacket og fikk sine egne sider samt kundenes defacet. Det fikk litt fart på sakene. Kan du kanskje utdype noe på hva som skiller phpsuexec og suphp? Hosten hadde gitt suPHP et forsøk med heller liten suksess. Er den ene av de to spesielt å foretrekke? Kanskje en link eller PM om du synes det er for mye for forumet her.
Did you know there's a Joomla irc channel? Chat to Joomla people live 24/7 - Join #joomla on the Freenode network ( irc.freenode.net )

User avatar
rued
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4840
Joined: Fri Sep 16, 2005 10:23 pm
Location: Finland / Norway
Contact:

Sv: Viktighet av og argumentering for phpsuexec/suphp

Post by rued » Mon Aug 07, 2006 6:36 pm

Rune Rasmussen - https://syntaxerror.no/
Norske nettløsninger og integrasjoner, brukerstøtte og vedlikehold m.m. for betalende kunder.

Norske oversettelser -> viewtopic.php?f=210&t=1006497

User avatar
ccondrup
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 219
Joined: Tue Aug 23, 2005 9:54 am
Location: Oslo

Re: Sv: Viktighet av og argumentering for phpsuexec/suphp

Post by ccondrup » Mon Aug 07, 2006 7:57 pm

Ja, hvordan tror du jeg fant ut det jeg nevnte i første post? :)
Som sagt, det jeg er på jakt etter primært er argumenter for at dette er viktig å installere. Det fant jeg ikke ved noen av de søkene.. men "phpsuexec suphp" ga litt materiale for å lese om forskjellene, dog ikke mye håndfast
Did you know there's a Joomla irc channel? Chat to Joomla people live 24/7 - Join #joomla on the Freenode network ( irc.freenode.net )

User avatar
rued
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4840
Joined: Fri Sep 16, 2005 10:23 pm
Location: Finland / Norway
Contact:

Sv: Re: Sv: Viktighet av og argumentering for phpsuexec/suphp

Post by rued » Mon Aug 07, 2006 8:13 pm

ccondrup wrote: Ja, hvordan tror du jeg fant ut det jeg nevnte i første post? :)
Som sagt, det jeg er på jakt etter primært er argumenter for at dette er viktig å installere. Det fant jeg ikke ved noen av de søkene.. men "phpsuexec suphp" ga litt materiale for å lese om forskjellene, dog ikke mye håndfast
Hva jeg tror betyr lite, men jeg tror vel Jens-Christian har mye annet å gjøre enn å lære opp norges webhoster - info som det allerede finnes mye om på nettet bare man tar tiden til hjelp.

Når du kom med denne syntes jeg bare du kanskje kunne sette deg litt inn i det ved hjelp av nettet:
ccondrup wrote: Kan du kanskje utdype noe på hva som skiller phpsuexec og suphp
Om dette plager deg er det jo beklagelig.
Rune Rasmussen - https://syntaxerror.no/
Norske nettløsninger og integrasjoner, brukerstøtte og vedlikehold m.m. for betalende kunder.

Norske oversettelser -> viewtopic.php?f=210&t=1006497

User avatar
jenscski
Joomla! Ace
Joomla! Ace
Posts: 1465
Joined: Thu Aug 18, 2005 6:58 am
Location: Tønsberg, Norway

Sv: Re: Viktighet av og argumentering for phpsuexec/suphp

Post by jenscski » Tue Aug 08, 2006 7:36 am

ccondrup wrote: Kan du kanskje utdype noe på hva som skiller phpsuexec og suphp?
Jeg kan prøve å fortelle hva jeg vet skille de to, men jeg vet nok langt i fra alt.

I lange tider har et program som heter suexec vært med i distrubusjonenen av Apache(webserveren), dette programmet har gjort det mulig å kjøre cgi-skriptet som eieren av cgi-skriptet, og ikke som apache-brukeren. Men suexec fungere bare med "vanlige" skriptespråk som perl, python osv. Men ikke php. For å få suexec til å fungere med php må man vist gjøre litt endringer og kompilere suexec på nytt og slikt.

Når det gjelder suPHP, så benytter denne seg av en modul til apache og et eksternt program, og gjør derfor ting på en litt annen måte.

En annen forskjell på å kjøre php som apache-modul, suexec og suphp er måten man kan endre instillingsverdiene til php ved hjelp av f.eks. .htaccess

Når man bruker php som en modul kan man skrive f.eks. php_value register_globals off i .htaccess, og vips så kjører php uten register_globals. Men når det gjelder suexec så må man vistnok lage en php.ini med register_globals=off, i hver enkelt mappe som man har et php-skript liggendes i. Mens man ved suPHP lager en php.ini, og legger en spesiell kode inn i .htaccess som forteller suPHP å lese den php.ini filen du laget.

Jeg har bare brukt suPHP på mine servere, og på de serverene som jeg har webhotell på. Men ut i fra det jeg har installert så er suPHP en fin fin ting!
Jens-Christian Skibakk
MMS Blog - http://mms.pipp.no/
Joomla! i Norge / Joomla! in Norway - http://www.joomlainorge.no/

User avatar
ccondrup
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 219
Joined: Tue Aug 23, 2005 9:54 am
Location: Oslo

Re: Viktighet av og argumentering for phpsuexec/suphp

Post by ccondrup » Tue Aug 08, 2006 8:36 am

Takk for det.

Jeg har også lest følgende, om noen leser her og kan dra nytte av det:
Fra hva jeg har funnet av informasjon, ser det også ut til at phpsuexec er gammel kode i den forstand at den ikke lenger vedlikeholdes og supporteres av andre enn cPanel fordi disse tilbyr det i sin cPanel-pakke.

suPhp.org er på den annen side i beste velgående, og det er ikke veldig lenge siden forrige release. Her er en link til wiki med instruks på oppsett av suPhp, og man finner også litt info på suphp's hjemmesider
Did you know there's a Joomla irc channel? Chat to Joomla people live 24/7 - Join #joomla on the Freenode network ( irc.freenode.net )


Locked

Return to “Sikkerhet”