Guin
Registered User
Das Hardened-PHP Project hat Anfang des Monats die erste stable Version von Suhosin (sowas wie: Schutzengel) veroeffentlicht. Suhosin loest damit den bekannten Hardening-Patch fuer PHP ab.
Suhosin kommt in zwei Stufen daher.
1. der Patch... dafuer muss man sein PHP neu kompilieren
2. Extension... in der php.ini hinzuladbar
Um das volle Potential ausnutzen zu koennen, sollte man Patch und Extension benutzen.
Der Suhosin Patch ist fuer die aktuellen 4er und 5er Versionen verfuegbar. Die Extension ist kompatibel zu PHP4 und PHP5.
Quelle: Hardened-PHP Project - PHP Security - Home
***
Ich sezte den Patch und die Extension nun seit ein paar Tagen ein. Das erste, was mir aufgefallen ist, dass mod_security etwas heftiger reagiert hat (gotroot rules: PHPSESSIONID). Ich weiss nicht warum (Standartconif von Suhosin war im Einsatz). Durch das Anpassen der entsprechenden Regeln liefen dann die vorhanden Projekte einwandfrei.
Merklich langsamer wird PHP durch den Patch und die Erweiterung auch nicht.
Besonders schoen finde ich, dass man nun fuer einzelne vHosts Funktionen sperren kann, oder (anders herum) nur bestimmte Funktionen zulassen kann (das wurde hier, glaube ich, mal nachgefragt).
Die Einstellungen die vorgenommen werden koennen sind recht ausgedehnt und alle habe ich mir noch nicht durchgelesen.
Hat jemand von euch auch Suhosin im Einsatz?
Durch die ganzen Schutzmechanismen von Suhosin muessten einige mod_security obsolet werden (, oder)?
Suhosin kommt in zwei Stufen daher.
1. der Patch... dafuer muss man sein PHP neu kompilieren
2. Extension... in der php.ini hinzuladbar
Um das volle Potential ausnutzen zu koennen, sollte man Patch und Extension benutzen.
Der Suhosin Patch ist fuer die aktuellen 4er und 5er Versionen verfuegbar. Die Extension ist kompatibel zu PHP4 und PHP5.
Quelle: Hardened-PHP Project - PHP Security - Home
***
Ich sezte den Patch und die Extension nun seit ein paar Tagen ein. Das erste, was mir aufgefallen ist, dass mod_security etwas heftiger reagiert hat (gotroot rules: PHPSESSIONID). Ich weiss nicht warum (Standartconif von Suhosin war im Einsatz). Durch das Anpassen der entsprechenden Regeln liefen dann die vorhanden Projekte einwandfrei.
Merklich langsamer wird PHP durch den Patch und die Erweiterung auch nicht.
Besonders schoen finde ich, dass man nun fuer einzelne vHosts Funktionen sperren kann, oder (anders herum) nur bestimmte Funktionen zulassen kann (das wurde hier, glaube ich, mal nachgefragt).
Die Einstellungen die vorgenommen werden koennen sind recht ausgedehnt und alle habe ich mir noch nicht durchgelesen.
Hat jemand von euch auch Suhosin im Einsatz?
Durch die ganzen Schutzmechanismen von Suhosin muessten einige mod_security obsolet werden (, oder)?
