Suhosin Hardening

[the_condor]

Hallo,

wie diese Überschrift schon lautet möchte ich meine php etwas härten, leider finde ich mich auf der Webseite nicht so zu recht. Ich dachte dadran das ich einfach die Extension nehme.

Dazu wollte ich DOWNLOADEN und das ganze entpacken.

Dann üblich weiter gehen mit phpize ./configure etc , leider findet der dort kein config File oder der gleichen. Was soll ich nun machen, ich hatte eigendlich keine Lust das komplette Harding zu nehmen und die Extension müßte doch reichen. Oder bin ich einfach mal wieder Blind

Danke für eure Hilfen

mfg
the_condor

 

[Darkdream]

Bist du das hier genau durchgegangen? Hardened-PHP Project - PHP Security - Installation!

Wie lautet denn die Fehlermeldung genau?

 

[the_condor]

Hi,

also nur ab Installing the Extension, war mich nicht klar das wenn ich die Extension nehme auch mehr machen muß.

Fehler Meldungen bekomme ich Natürlich keine, da ich weder phpize noch ./configure ausführen kann.

Wenn ich mir das so durchlese müßte ich trozdem erst den Signaturekey adden bevor ich überhaupt weiter gehen kann.

Dann das ganze Patchen und dann erst die Extension Anwenden, sehe ich das so Richtig.

the_condor

 

[CyberLine]

Also die Signaturfiles brauchste nicht.
Du lädst die extension, entpackst die in php-5.2.x/src/ und nennst den ordner um in suhosin.
Dann in dem Ordner phpize aufrufen.
Dann gehste in den PHP root zurück, löschst die configure und baust mit "./buildconf --force" ne neue configure.
Anschliessen sollte ein "./configure --help | grep suhosin" was auswerfen.

 

[DarkMaster]

Ich habs nach dieser Anleitung gemacht :

Die Installation des Patches ist unter Debian ganz einfach:

Für PHP4: apt-get install php4-suhosin
Für PHP5: apt-get install php5-suhosin

Sollte das bei Ihnen nicht gefunden werden, müssen Sie zusätzlich in der /etc/apt/source.list die folgenden Quellen eintragen:

deb http://dotdeb.netmirror.org/ sarge all
deb-src http://dotdeb.netmirror.org/ sarge all

Sollten Sie eine andere "Sorte" Debian nutzen (z.B. edge) so müssen Sie die Codewörter hinten anpassen.

Nun sollte der apache2 restartet werden

Wenn man nun phpinfo wieder aufmacht, sollte etwas von suhosin zu finden sein.

Als Test ob Suhosin arbeitet, könnte man folgendes machen:

echo suhosin.executor.func.blacklist="phpinfo">>/etc/php4/conf.d/suhosin.ini
/etc/init.d/apache2 restart

Natürlich muss man die php Version entsprechend wählen (also /etc/php5/ wenn PHP5)

Wenn man nun die phpinfo wieder aufruft, wird nur ein Fehler im Log auftauchen...

Um das wieder zu entfernen sollte in der Datei /etc/php4/conf.d/suhosin.ini wieder die letzte Zeile entfernen.

Natürlich kann Suhosin mehr als nur Funktionen zu blacklisten, was aber alles hier beschrieben ist.

Quelle :
Debian php Installation mit suhosin abhärten

 

[the_condor]

Hallo,

sorry das ich so Spät Antworte.
Mein System ist Suse 9.3 mit Aktuell php 4

Mein Problem ist das wenn ich die Extension von hardened-php.net lade und diese dann auch entpacke ich da weder ein Ordner Namens phpize noch ein configure oder make File habe.

In dem Ordner finde ich die suhosin.ini und einen Ordner test +
mbregex. Das kann doch nicht sein, die Extension einzufügen ist doch normal sehr leicht.

mfg
the_condor

 

[Huschi]

Was konkret hast Du dann mit dem Paket bisher gemacht?
Es steht in der Anleitung relativ genau jeder Schritt erklärt.

phpize ist übrigens kein Ordner sondern ein Programm. Du erhälst es mit der Installation von php4-devel (die Du eh brauchst).

Nur mal so zum Mitdenken:
Bei welchen dieser Befehle scheitert es bei Dir?

wget http://www.hardened-php.net/suhosin/_media/suhosin-0.9.20.tgz?id=download&cache=cache
tar xzf suhosin-0.9.20.tgz
cd suhosin-0.9.20
phpize
./configure 
make
make install

echo "extension=suhosin.so" >> /etc/php.ini

huschi.

 

[the_condor]

Hallo Huschi,

es hat zum einen an php4-devel gehongen, ich war der Meinung das ich es Installiert hatte. Habe ich nun nachgeholt und siehe da es geht auch phpize.

Jedoch bleibe ich dort hängen:
Configuring for:
PHP Api Version: 20020918
Zend Module Api No: 20020429
Zend Extension Api No: 20050606
/usr/bin/phpize: line 133: aclocal: command not found

Um ehrlich zu sein weiß ich nix damit Anzufangen, aclocal gehört normal zu autoconf und da habe ich beides Installiert, sprich auch das debuginfo.
Beides in version 2.59

mfg
the_condor

 

[Huschi]

"aclocal" gehört zu automake (nicht autoconf).
Und wenn das noch nicht installiert ist, werden wohl einige Entwickler-Pakete nicht installiert sein. Da wirst Du noch einiges nachinstallieren müssen.
Um die passenden Pakete zu finden nutze rpmseek.

huschi.

 

[the_condor]

Morgen,

also ich habe automake sowie libtool nachinstalliert.

Nun konnte ich es sauber Installieren, auch meine phpinfo gibt mir die Daten wieder das Suhosin nun Aktiv ist.


mfg
the_condor