Beveiligde PHP-toepassingen met SuExec - dummies

Als uw toepassing op Apache wordt uitgevoerd (als meer dan de helft de websites op internet doen), wilt u misschien overwegen om SuExec in uw Apache-configuratie in te schakelen. SuExec is een mechanisme dat is gebundeld met Apache waardoor scripts worden uitgevoerd als de gebruiker die eigenaar is van het script, in plaats van ze uit te voeren als de webservergebruiker.

In een niet-SuExec-omgeving worden alle scripts uitgevoerd als hetzelfde gebruikers-ID als de webserver zelf. Helaas kan een kwetsbaar script een kwaadwillende gebruiker toegang tot de achterdeur geven tot de volledige webserver, inclusief scripts die worden uitgevoerd op andere sites die op dezelfde server worden gehost.

SuExec probeert dit probleem te beperken door webtoepassingen te beperken tot hun eigen gebieden en ze uit te voeren onder de gebruikers-ID's van hun eigenaars, in plaats van onder de gebruikers-ID van de webserver. Dit script zou bijvoorbeeld worden uitgevoerd onder de gebruikers-ID van jsmith:

/ home / ~ jsmith / public_html / scripts / please_hack_me. php

Een kwaadwillende gebruiker zou dit script kunnen misbruiken, maar hij of zij zou alleen toegang hebben tot bestanden en programma's die de jsmith-gebruiker mag gebruiken. Elke andere gebruiker op de server zou worden beschermd tegen het onveilige script van jsmith.

Helaas kan het lastig zijn om SuExec goed te laten werken met

virtuele hosts, of meerdere onafhankelijke websites die zich fysiek op dezelfde webserver bevinden. SuExec is ontworpen om scripts uit te voeren die bestaan ​​in de documentroot van de webserver. De meeste virtuele hosts zijn zo ingesteld dat elke afzonderlijke website een eigen documentroot krijgt en de documentroot van elke site zich niet onder de documentroot van de webserver bevindt. Om deze beperking te omzeilen, moet de systeembeheerder de documentroot van elke virtuele host toevoegen aan de documentrootvariabele van de webserver in het Apache-configuratiebestand.

SuExec vereist ook dat PHP-scripts worden uitgevoerd als Common Gateway Interface (CGI), wat langzamer is dan PHP uitvoeren als een voorgecompileerde module onder Apache. CGI was het eerste bruikbare model voor webtoepassingen en wordt nog steeds gebruikt voor eenvoudige scripts. Als je echter eenmaal het domein van PHP-scripting verlaat en volwaardige applicaties gaat schrijven, heb je de prestatieverbetering van vooraf gecompileerde PHP nodig.

Voor tamelijk eenvoudige webservers kan SuExec één onveilige applicatie van al het andere trappelen. In een complexere omgeving met virtuele servers, vooraf gecompileerde modules en tientallen of honderden gebruikers heeft u echter een beveiligingsmodel nodig dat wat robuuster is.