Wie man PHP5 mit Suhosin auf Fedora 7 absichert

Version 1.0
Autor: Falko Timme

Dieses Tutorial zeigt, wie man PHP5 mit Suhosin auf einem Fedora 7-Server absichert. Von der Suhosin-Projektseite: “Suhosin ist ein fortgeschrittenes Schutzsystem für PHP-Installationen, das entwickelt wurde, um Server und Benutzer vor bekannten und unbekannten Schwächen in PHP-Anwendungen und dem PHP-Kern zu schützen. Suhosin besteht aus zwei unabhängigen Teilen, die separat oder in Kombination verwendet werden können. Der erste Teil ist ein kleiner Patch für den PHP-Kern, der einige grundlegende Schutzmaßnahmen gegen Pufferüberläufe oder Format-String-Schwachstellen implementiert, und der zweite Teil ist eine leistungsstarke PHP-Erweiterung, die alle anderen Schutzmaßnahmen implementiert.”

Dieses Dokument kommt ohne jegliche Gewährleistung! Ich möchte sagen, dass dies nicht der einzige Weg ist, ein solches System einzurichten. Es gibt viele Möglichkeiten, dieses Ziel zu erreichen, aber dies ist der Weg, den ich wähle. Ich gebe keine Garantie, dass dies für Sie funktioniert!

1 Vorbemerkung

Ich habe dies auf einem Fedora 7-Server mit der IP-Adresse 192.168.0.100 getestet.

Ich werde in diesem Tutorial beide Teile von Suhosin installieren, den Suhosin-Patch (für den wir PHP5 neu kompilieren müssen) und die Suhosin-PHP-Erweiterung. Um zu sehen, was Suhosin kann, besuchen Sie bitte http://www.hardened-php.net/suhosin/a_feature_list.html. Die Funktionen des Suhosin-Patches sind unter Engine Protection aufgelistet (nur mit Patch); alle anderen Funktionen kommen mit der Suhosin-Erweiterung.

2 Installation von Apache2 und PHP5 (Optional)

(Dieses Kapitel ist optional, wenn Sie bereits Apache2 und PHP5 installiert haben - bitte überspringen Sie das nächste Kapitel.)

Wenn Sie Apache2 und PHP5 nicht auf Ihrem Server installiert haben, installieren Sie es jetzt:

yum install httpd php php-devel

Erstellen Sie dann die Systemstartlinks für Apache2 und starten Sie Apache2:

chkconfig --levels 235 httpd on  
/etc/init.d/httpd start

Sie haben jetzt ein PHP5 mit grundlegender Funktionalität auf Ihrem Server; wenn Sie spezielle PHP5-Module benötigen, können Sie danach wie folgt suchen:

yum search php

Wählen Sie aus der Ausgabe die Module aus, die Sie benötigen, installieren Sie sie wie folgt und starten Sie Apache2 neu:

yum install php-gd php-imap php-ldap php-mysql php-odbc php-pear php-xml php-xmlrpc  
/etc/init.d/httpd restart

3 Details zu Ihrer PHP5-Installation abrufen

Sofern Sie nicht bereits virtuelle Hosts in Ihrer Apache-Installation erstellt haben, ist das Dokumentenstammverzeichnis der Standard-Website /var/www/html. Wir werden jetzt eine kleine PHP-Datei (info.php) in diesem Verzeichnis erstellen (wenn Sie virtuelle Hosts erstellt haben, platzieren Sie sie in einem der virtuellen Hosts, die PHP aktiviert haben) und sie in einem Browser aufrufen. Die Datei zeigt viele nützliche Details über unsere PHP-Installation an, wie die installierte PHP-Version.

vi /var/www/html/info.php

| |

Jetzt rufen wir diese Datei in einem Browser auf (z.B. http://192.168.0.100/info.php):

Wie Sie sehen, ist unsere PHP-Version 5.2.2, und Suhosin wird auf dieser Seite nicht erwähnt, was bedeutet, dass es nicht installiert ist.