Ключевые слова:web, apache, fastcgi, php, (найти похожие документы)
From: Sergej Ermakov (Roxis)
Subject: PHP как FastCGI и распределение прав
Базовая информация
------------------
Все процессы Apache запускаются от одного непривилегированного
пользователя (nobody, www или apache). Для того, чтобы статические
файлы были доступны Apache, они должны быть world readable или входить
в группу Apache и быть group readable.
CGI-скрипты запущенные, с suEXEC выполняются уже от владельца скрипта,
и им не нужно иметь права world/group readable. Но PHP-скрипты
запущенные через mod_php, также как статические файлы, нуждаются в
world/group readable правах, так как они не используют suEXEC.
Проблема
World readable или group readable доступны на чтения всем или тем, кто
входит в их группу. Поэтому все статические файлы и PHP-скрипты, в
которых может храниться конфиденциальная информация (пароли к базам
данных, аутентификационные данные или просто исходные тексты),
доступны всем пользователям системы.
Простое "решение"
Для mod_php можно настроить open_basedir и отключить такие функции,
как exec, system, passthru (похожих функций намного больше). Однако
этим можно защитить только чтение PHP-скриптами, CGI-скрипты все ещё
могут читать world/group readable файлы. Поэтому вам ещё надо
запретить любые другие возможности доступа (CGI, Cron, Shell).
Для защиты CGI-скриптов достаточно выставить chmod 700. Это решение не
самое удобное, так как chmod придётся делать каждый раз при создании
или загрузке нового скрипта.
Отключение CGI неприемлемо для виртуального хостинга, а выставление
chmod вручную не удобно, да и CGI-скрипты намного медленней mod_php.
Также не надо забывать, что статические файлы (.htaccess, .htpasswd)
всё ещё доступны всем.
Распределение прав
Главная причина этой проблемы, это неправильное распределение прав.
Статические файлы доступны на чтение всем.
Нам же нужно, чтобы файлы были доступны только Apache и самому
владельцу, а не всем. Для этого достаточно каждому пользователю
создать персональную группу (на хостинге чаще всего так и есть) и
добавить в эту группу пользователя Apache (www или apache). После
этого каждый пользователь хостинга является участником только своей
группы, а Apache является участником всех этих групп.
Пример с двумя пользователями
#user1# id
uid=101(user1) gid=101(user1) groups=101(user1)
#user2# id
uid=102(user2) gid=102(user2) groups=102(user2)
#apache# id
uid=100(apache) gid=100(apache) groups=101(user1),102(user2)
# cat /etc/passwd
apache:x:100:100::/var/www:/bin/sh
user1:x:101:101::/home/user1:/bin/sh
user2:x:102:102::/home/user1:/bin/sh
# cat /etc/group
apache:x:100:
user1:x:101:apache
user2:x:102:apache
FreeBSD по умолчание имеет ограничение на количество групп, в
которые может входит один пользователь. В /usr/src/sys/sys/syslimits.h
следует заменить #define NGROUPS_MAX 16 на нужное значение.
Следующий этап, это выставление прав на $HOME папки пользователей,
они должны быть доступны для группы и владельца, но не для всех.
#root# chmod 750 /home/*
Все файлы в $HOME директории будут недоступны другим пользователям,
неважно какие у них будут права. Этим мы решаем проблему выставления
прав для каждого файла/скрипта вручную.
Отказ от mod_php
Теперь самое главное не дать пользователям возможности заполучить
права Apache, а значит надо отказаться от mod_php. Конечно его можно
просто безопасней настроить, но этого не достаточно, так как в PHP
множество опасных функций и возможностей обхода open_basedir. Поэтому
мы выбираем CGI или FastCGI и suEXEC.
Настройка PHP как FastCGI
Есть два модуля Apache mod_fastcgi и mod_fcgid. mod_fcgid более новей
и поэтому лучше использовать его, но если вы упорно решили оставаться
на Apache 1.3 и не хотите переходить на более быстрый и
функциональный Apache 2.2, то вам придётся установить mod_fastcgi.
PHP надо пересобрать добавив опции
--enable-fastcgi
--enable-force-cgi-redirect
Если вы всё ещё используете старую версию PHP, то это хороший повод
обновить его до последней версии, что также даст прирост в
производительности и новые возможности.
Настройка mod_fcgid, добавляем в httpd.conf
<IfModule mod_fcgid.c>
<Directory />
Options +ExecCGI
AddHandler fcgid-script .php
FCGIWrapper /usr/apache/htdocs/fcgid-php.sh .php
</Directory>
</IfModule>
Также очень важно добавить в каждый виртуальный хост строку
SuexecUserGroup user-login user-group
fcgid-php.sh должен находится в suexec-docroot, иначе он не будет
запускаться из-за строгой политики suEXEC.
Содержание выполняемого скрипта fcgid-php.sh, который и будет
запускать персональный FastCGI демон для каждого пользователя.
#!/bin/sh
export PHP_FCGI_MAX_REQUESTS=0
exec /usr/bin/php
Последнее действие, это упрощение политики безопасности suEXEC, а
именно удаление проверки запускаемого скрипта (fcgid-php.sh) и
директории в которой он находится (/usr/apache/htdocs) на
соответствие их владельца с пользователем указанным в SuexecUserGroup.
Для этого надо закомментировать строки (566-576 в 2.2.3)
if ((uid != dir_info.st_uid) ||
(gid != dir_info.st_gid) ||
(uid != prg_info.st_uid) ||
(gid != prg_info.st_gid)) {
log_err("target uid/gid (%ld/%ld) mismatch "
"with directory (%ld/%ld) or program (%ld/%ld)\n", uid, gid,
dir_info.st_uid, dir_info.st_gid,
prg_info.st_uid, prg_info.st_gid);
exit(120);
}
в файле [httpd-2.x]/support/suexec.c и пересобрать suEXEC. Иначе
пришлось бы копировать fcgid-php.sh каждому пользователю и указывать
путь в каждом виртуальном хосте.
Лицензия (GFDL)
Copyright (c) 2007 Sergej Ermakov (Roxis)
Permission is granted to copy, distribute and/or modify this document
under the terms of the GNU Free Documentation License, Version 1.2
or any later version published by the Free Software Foundation;
with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license can be downloaded from
http://www.gnu.org/licenses/fdl.html
>FreeBSD по умолчание имеет ограничение на количество групп, в
которые может входит один пользователь. В /usr/src/sys/sys/syslimits.h
следует заменить #define NGROUPS_MAX 16 на нужное значение.
Ну вот и зачем так извратно? Давно есть поддержка ACL как во фре, так и в линухе, ставим на хому юзера 700 и говорим setfacl -m u:www:r-x <userhomedir> вместо геморроя с заведением персональных групп.
Патч для suexec тоже очень порадовал, взяли так и половину безопасности похерили...
в suexec убрали проверку на владельца/группу директории и скрипта.
через любой cgi можно запускать не свои скрипты и не в своей папке.
поэтому безопасность не страдает
