» » PHP встановлений як модуль Apache (безпека)

PHP встановлений як модуль Apache (безпека)

PHP встановлений як модуль Apache (безпека)
Коли PHP використовується як модуль Apache, він успадковує всі права користувача, з якими був запущений веб-сервер (зазвичай це користувач 'nobody'). Це безпосередньо впливає на забезпечення безпеки і реалізацію авторизації. Наприклад, якщо ви використовуєте базу даних, яка не має вбудованого механізму розмежування доступу, вам прийдеться дати доступ до БД для користувача 'nobody'. У такому випадку скрипт хакера може отримати доступ до бази даних і модифікувати її, навіть не знаючи логіна і пароля. Не виключена ситуація, коли веб-павук невірними запитами сторінки адміністратора бази даних знищить всі дані або навіть структуру БД. Ви можете уникнути такої ситуації за допомогою авторизації Apache або розробивши власну модель доступу, використовуючи LDAP, файли . htaccess або будь-які інші технології, впроваджуючи відповідний код у ваші скрипти.

Дуже часто використовуються такі конфігурації безпеки, при яких PHP має мінімум привелегий, наприклад відсутня можливість запису в користувальницькі директорії. Або, наприклад, відсутня можливість працювати з базою даних. При цьому система безпеки не дозволяє записувати як "хороші", так і "погані" файли, аналогічно дозволяє робити як "хороші", так і "погані" транзакції.

Поширеною помилкою є запуск Apache з правами суперкористувача або будь-яке інше розширення повноважень веб-сервера.

Розширення привілеїв веб-сервера до повноважень загрожує працездатності всієї системи, такі команди, як sudo, chroot повинні виконуватися виключно тими, хто вважає себе професіоналами в питаннях безпеки .

Існує декілька простих рішень. Використовуючи open_basedir, ви можете обмежити дерево доступних директорій для PHP. Ви так само можете визначити область доступу Apache, обмеживши всі веб-сервісів не-користувацькими або-системними файлами.


1288 24.11.13



Напівжирний Нахилений текст Підкреслений текст Перекреслений текст | Вирівнювання по лівому краю По центру Вирівнювання по правому краю | Вставка смайликів Вибір кольору | Прихований текст Вставка цитати Перетворити вибраний текст з транслітерації в кирилицю Вставка спойлеру