Implantação do PHP Hardened no Ubuntu

4

Fui solicitado a criar um ambiente PHP em um servidor da web que administro que atualmente está executando apenas aplicativos Python. Os autores desses aplicativos não têm necessariamente um histórico de programação, então eu gostaria de limitar o que eles podem fazer de errado.

Estou usando o Ubuntu 9.04 e sei que devo ter register_globals desativado, mas o que mais posso / devo restringir?

    
por Matthew Wilkes 23.08.2009 / 13:21

2 respostas

3

Aqui é uma lista de coisas que eu estava prestes a digitar. Há outras coisas que você pode fazer, como Suhosin , mas o primeiro link é um bom começo para isso.

    
por 23.08.2009 / 14:08
4

Como você não pode realmente confiar em seus desenvolvedores de aplicativos para escrever código seguro, você terá que limitar os vetores de ataque que o código php não seguro poderia fornecer. Usar a entrada do usuário sem o saneamento adequado como SQL ou como um argumento para o open () são exemplos clássicos de coisas que dão errado.

Minha breve lista:

  • coloca o ambiente php dentro de uma jaula chroot, para limitar os riscos ao host.
  • Verifique se os aplicativos do php não acessam os mesmos bancos de dados usados de outra forma.
  • correio de saída de limite de taxa (e monitor). Se houver uma maneira de enviar e-mail com conteúdo e endereço especificados pelo usuário, algum spammer irá, mais cedo ou mais tarde, encontrá-lo e explorá-lo.

Tenho certeza de que há muitas outras coisas que eu não conheço ou que não consigo mais lembrar.

Também há muitas coisas que você, como administrador, não pode se preparar. Por exemplo, é muito difícil controlar os riscos de scripts entre sites e garantir que a mecânica interna dos aplicativos não incentive casos de uso mal-intencionados, como o uso do aplicativo como uma caixa suspensa para coisas ruins, como rootkits.

    
por 23.08.2009 / 14:02