Comment renforcer PHP5 avec Suhosin sur Fedora 7

Version 1.0
Auteur : Falko Timme

Ce tutoriel montre comment renforcer PHP5 avec Suhosin sur un serveur Fedora 7. D’après la page du projet Suhosin : “Suhosin est un système de protection avancé pour les installations PHP qui a été conçu pour protéger les serveurs et les utilisateurs contre les failles connues et inconnues dans les applications PHP et le cœur de PHP. Suhosin se compose de deux parties indépendantes, qui peuvent être utilisées séparément ou en combinaison. La première partie est un petit patch contre le cœur de PHP, qui implémente quelques protections de bas niveau contre les débordements de tampon ou les vulnérabilités de chaîne de format et la deuxième partie est une puissante extension PHP qui implémente toutes les autres protections.”

Ce document est fourni sans garantie d’aucune sorte ! Je tiens à dire que ce n’est pas la seule façon de configurer un tel système. Il existe de nombreuses façons d’atteindre cet objectif, mais c’est la méthode que je choisis. Je ne donne aucune garantie que cela fonctionnera pour vous !

1 Remarque préliminaire

J’ai testé cela sur un serveur Fedora 7 avec l’adresse IP 192.168.0.100.

Je vais installer les deux parties de Suhosin dans ce tutoriel, le patch Suhosin (pour lequel nous devons recompiler PHP5) et l’extension PHP Suhosin. Pour voir ce que Suhosin peut faire, veuillez vous référer à http://www.hardened-php.net/suhosin/a_feature_list.html. Les fonctionnalités du patch Suhosin sont répertoriées sous Protection du moteur (uniquement avec le patch) ; toutes les autres fonctionnalités sont fournies avec l’extension Suhosin.

2 Installation d’Apache2 et PHP5 (Optionnel)

(Ce chapitre est optionnel si vous avez déjà installé Apache2 et PHP5 - veuillez passer au chapitre suivant.)

Si vous n’avez pas Apache2 et PHP5 installés sur votre serveur, installez-le maintenant :

yum install httpd php php-devel

Ensuite, créez les liens de démarrage système pour Apache2 et démarrez Apache2 :

chkconfig --levels 235 httpd on /etc/init.d/httpd start

Vous avez maintenant un PHP5 avec des fonctionnalités de base sur votre serveur ; si vous avez besoin de modules PHP5 spéciaux, vous pouvez les rechercher comme ceci :

yum search php

Dans la sortie, choisissez les modules dont vous avez besoin, installez-les comme ceci et redémarrez Apache2 :

yum install php-gd php-imap php-ldap php-mysql php-odbc php-pear php-xml php-xmlrpc /etc/init.d/httpd restart

3 Obtenir des détails sur votre installation PHP5

À moins que vous n’ayez déjà créé des hôtes virtuels dans votre installation Apache, le répertoire racine du site web par défaut est /var/www/html. Nous allons maintenant créer un petit fichier PHP (info.php) dans ce répertoire (si vous avez créé des hôtes virtuels, placez-le dans l’un des hôtes virtuels qui a PHP activé) et l’appeler dans un navigateur. Le fichier affichera de nombreux détails utiles sur notre installation PHP, tels que la version PHP installée.

vi /var/www/html/info.php

| |

Maintenant, nous appelons ce fichier dans un navigateur (par exemple http://192.168.0.100/info.php) :

Comme vous le voyez, notre version PHP est 5.2.2, et Suhosin n’est mentionné nulle part sur cette page, ce qui signifie qu’il n’est pas installé.