[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: PHP5 statt 4 als Abhängigkeit von suPHP



Simon Jolle sjolle:
> Zitag von suphp.org
> 
>> suPHP is a tool for executing PHP scripts with the permissions of
>> their owners. It consists of an Apache module (mod_suphp) and a
>> setuid root binary (suphp) that is called by the Apache module to
>> change the uid of the process executing the PHP interpreter.
> 
> Kann jemand einem Web-Dummy erklären was dieses suphp bringt? Ich nehme
> an es dient der Sicherheit. Gegen welche Art von Angriffe schützt suphp?
> Use Cases?

Nach der Beschreibung: es ist vor Allem in shared-hosting Umgebungen
sinnvoll, wo viele Benutzer die gleiche Apache-Instanz inklusive PHP
benutzen. Im Normalfall wird PHP mit den Rechten des Apache-Prozesses
(normalerweise UID www-data) ausgeführt. Dadurch kann eine Schwachstelle
in einem Programm nur eines Users zur Kompromittierung aller
PHP-Anwendungen führen. Mit suPHP kann man den Schaden begrenzen (sofern
keine privilege escalation erreicht wird).

Es bringt also durchaus ein Plus an Sicherheit, es schützt aber nicht
vor irgendwelchen Angriffen. Es mindert nur unter günstigen Umständen
den Schaden.

J.
-- 
I no longer believe my life will be long, happy, interesting or fulfilled
[Agree]   [Disagree]
                 <http://www.slowlydownward.com/NODATA/data_enter2.html>

Attachment: signature.asc
Description: Digital signature


Reply to: