Назад | Перейти на главную страницу

Развертывание усиленного PHP в Ubuntu

Меня попросили создать среду PHP на веб-сервере, который я администрирую, на котором в настоящее время работают только приложения Python. Авторы этих приложений не обязательно имеют опыт программирования, поэтому я хотел бы ограничить то, что они могут сделать неправильно.

Я использую Ubuntu 9.04 и знаю, что мне нужно register_globals отключено, но что еще можно / нужно ограничить?

Поскольку вы не можете действительно доверять разработчикам приложений для написания безопасного кода, вам придется ограничить векторы атаки, которые может предоставить небезопасный PHP-код. Использование пользовательского ввода без надлежащей очистки в виде SQL или в качестве аргумента функции open () является классическим примером того, что идет не так.

Мой краткий список:

поместите среду php в chroot jail, чтобы ограничить риски для хоста.
убедитесь, что приложения php не обращаются к тем же базам данных, которые используются в противном случае.
ограничение скорости (и мониторинг) исходящей почты. Если есть способ отправить электронное письмо с указанным пользователем контентом и адресом, какой-нибудь спамер рано или поздно найдет и воспользуется им.

Я уверен, что есть много других вещей, о которых я либо не знаю, либо не могу вспомнить.

Есть еще много вещей, к которым вы как администратор не можете подготовиться. Например, очень сложно контролировать риски межсайтового скриптинга и следить за тем, чтобы механизмы внутри приложений не поощряли вредоносные варианты использования, такие как использование приложения в качестве контейнера для плохих вещей, таких как руткиты.

Вот это список вещей, которые я собирался напечатать. Вы можете делать и другие вещи, например Сухосин, но первая ссылка - хорошее начало.