suphp

Zugschlusbeobachtungen

Sunday, December 11. 2005

Posted by Marc 'Zugschlus' Haber in Computer und Netze at 21:59 | Comments (9) | Trackbacks (2)

suphp

Schon bei den Vorarbeiten zu diesem und diesem Artikel hat man mir sehr nahegelegt, suphp anzugucken. Das habe ich heute getan.

Suphp kommt als Apache-Modul in der Debian-Package libapache2-mod-suphp daher. In Sarge ist eine 0.5-Version; in sid eine 0.6.0-Version, die zur Laufzeit flexibler konfigurierbar ist. Upstream hat vor zwei Wochen eine 0.6.1 released, die bisher noch nicht ihren Weg nach Debian gefunden hat.

suphp tut auf Anhieb das, was man von ihm erwartet: Das php-Script läuft mit den Rechten des Dateiinhabers. Die Überraschungen sind im Detail, und ich weiss noch nicht genau, was ich darüber denken soll.

suphp ist wie suexec ein suid root laufendes Binary, das seine Rootrechte - wie suexec - zuerst zum Zieluser fallen lässt, und dann den php4-Interpreter aufruft. Daraus folgt:

  • Der PHP-Interpreter läuft nicht als Apache-Modul
  • libapache2-mod-php kann raus. Beziehungsweise: Es muss raus, denn der Parallelbetrieb von mod-php und suphp ist nicht unterstützt. Es kann laut Aussage des Upstreams alles passieren. Also lieber nicht machen.
suphp ist erheblich weniger pingelig als suexec. Das erleichtert zwar die Arbeit erheblich, weil es sofort so tut wie erwartet, aber über den damit eingehandelten Sicherheitskompromiss muss ich mir erstmal klar werden.

Die bei suphp 0.5 mitgelieferte Dokumentation ist die vom Upstream, die davon ausgeht, dass das Modul mit --with-setid-mode=force oder =paranoid übersetzt wurde. Die Debian-Package ist aber mit --with-setid-mode=owner gebaut. In der Folge führt die Beachtung der Anleitung zu einem nicht mehr startenden Apache, weil das mit =owner gebaute apache-Modul die Direktive suPHP_UserGroup nicht kennt und einem somit spontan um die Ohren fliegt wenn man die Anleitung befolgt.

suphp 0.6 ist zur Laufzeit besser konfigurierbar, was eventuell einen weiteren Sicherheitskompromiss bedeutet. Außerdem kann suphp 0.6 auch “normale”; CGI-Scripts ausführen und mutiert somit zum nahezu vollwertigen suexec-Ersatz.

Als Debian-Packages daherkommende Applikationen werden eher schwer unter suphp einsatzfähig sein, weil man die Dateien an einen anderen Benutzer “verschenken” muss. Ob das mit dpkg-statoverride einfach machbar ist, werden Experimente mit Dokuwiki in den nächsten Tagen zeigen.

Wie gut suphp für “normale” CGI-Scripts tut, werden Experimente mit munin-cgi-graph in den nächsten Tagen zeigen.

Momentan tendiere ich dazu, auch auf den sarge-Webservern einen Backport von suphp 0.6 einzusetzen, weil mir die Konfigurationsmöglichkeiten sexy erscheinen. Vielleicht komme ich irgendwann auch mal zu einer Meinung bezüglich der Sicherheitskompromisse. Jedenfalls steht die Kommentarfunktion dieses Artikels bereit, und ich freue mich auf Eure Meinungen.

Nachtrag

Nachdem ich Ende Dezember einige Fragen auf der suphp-Mailingliste gestellt habe, und diese Fragen genauso wie die explizite Nachfrage beim Autor drei Wochen später unbeantwortet verhallten, habe ich die Experimente mit suphp abgebrochen.

Defined tags for this entry: , , , ,
Related entries by tags:
Random Entry: Hübsche Appliances mit vielen Interfaces
< Spurbus ist Geschichte | Post, Schiff und Land >
Trackbacks
Trackback specific URI for this entry
fastcgi
In Fortsetzung der Artikelreihe zur Entfernung von PHP-Scripts aus dem Accountkontext des Webservers ist heute FastCGI? an der Reihe. Kurzzusammenfassung aus der Theorie: Es ist vermutlich performanter als suexec und suphp, bringt aber weder Erleichterun Comments (2)
Weblog: Zugschlusbeobachtungen
Tracked: Dec 30, 15:22
Trennung von Webapplikationen mit Extrainstanzen des Apache
Die Artikelreihe zum Thema “Trennung von Webanwendungen untereinander”, die mit fastcgi, suphp und zwei Artikeln über das klassische suexec begann, findet heute ihren vorläufigen Abschluss mit dem Setup, für das ich mich letztendlich ents Comments (2)
Weblog: Zugschlusbeobachtungen
Tracked: Feb 18, 17:22
Comments
Display comments as (Linear | Threaded)
*Da ich im nächsten Jahr den Homepage-Server meiner FH (derzeit Solaris 6 auf einer E150) durch ein leistungsfähigeres Modell (dann mit Debian) ersetzen darf, möchte ich dabei auch gleich das Rechte-Problem, das sich auf einem Shared-Server mit sehr vielen Benutzern automatisch ergibt, lösen.

Bisher habe ich deine Artikel über suexec und jetzt über suphp mit sehr viel Interesse gelesen, da mir darin exakt die Richtung gezeigt wird, die ich zu gehen gedenke und ich wäre daher sehr erfreut, wenn du deine Artikelserie zu diesem Themenkomplex fortsetzen würdest.

(Ich weiss, das war nicht ganz der Kommentar, den du wolltest :) )
Comment (1)
#1 Sven Hartge (Homepage) on 2005-12-11 23:37 (Reply)
*Nun ja, besser als mod_php mit “safe mode” dürfte suphp in jedem Falle sein. :) Ich erwäge das auch und lese daher ebenfalls sehr interessiert mit.

Noch mehr als die Sicherheitsimplikationen würde mich BTW einerseits die Performance interessieren und andererseits die Möglichkeit, suphp mit fastcgi zu “koppeln” ...
Comment (1)
#2 -thh on 2005-12-12 12:19 (Reply)
*Warum eigentlich fastcgi? Bringt das Performance-Vorteile gegenüber PHP als Apache-Modul?
Comment (1)
#2.1 Florian Laws (Homepage) on 2005-12-18 18:11 (Reply)
*Wenn Du suphp benutzt, läuft das php nicht mehr als apache-Modul. Wenn ich das richtig verstanden habe, ruft das suphp-Apache-Modul das suphp-Binary auf, das suid root ist, dann seine Rechte auf die Rechte des gewünschten Zielusers fallen lässt, und letztendlich den PHP-Interpreter mit dem gewünschten Zielscript ausführt.
Comments (2)
#2.1.1 Marc 'Zugschlus' Haber (Homepage) on 2005-12-18 19:03 (Reply)
*Auf Bitten von Marc, hier mal mein Kommentar aus dem IRC:

Der Unterschied zwischen ist suphp und suexec ist, dass suphp speziell für den PHP Einsatz gedacht ist.
D.h. Variablen wie PHP_AUTH_USER und PHP_AUTH_PW, die cgi-php normalerweise nicht exportiert, sind mit suphp verfügbar. Dies bedeutet, dass HTTP Authentifizierung mit relativ wenig Umständen auch mit suphp Möglich ist.

Ein weiterer Vorteil ist, dass getrennt werden kann zwischen exec-cgi Rechten und PHP Rechten in der httpd.conf.

Auch brauchen die PHP Scripte kein execute Bit mehr und auch kein #!/usr/bin/php-cgi (im Worstcase), was weniger Supportaufwand bedeutet.

Gerüchteweise soll suphp auch performanter sein als suexec, aber dies konnte ich nie wirklich verifizieren.
Comment (1)
#3 ixs (Homepage) on 2005-12-12 14:29 (Reply)
*Also wenn SUPHP wirklich so funktioniert wie hier beschrieben, dürfte die Performanz extrem schlecht sein. So gesehen ist es für Produktionssysteme keine Alternative zu mod_php- oder FASTCGI/SCGI-Lösungen.
Comment (1)
#3.1 Chef on 2005-12-21 20:48 (Reply)
*Meines Wissens verwenden die beiden größten Webhoster Deutschlands suexec zur Trennung der Webapplikationen der verschiedenen User auf der Shared-Hosting-Plattform.

So viel also zu “keine Alternative zu mod_php und FASTCGI”.
Comments (2)
#3.1.1 Marc 'Zugschlus' Haber (Homepage) on 2005-12-22 01:46 (Reply)
*“shared hosting” impliziert ja auch quasi keine Erwartungen an Performance. Für das schmale Geld wird sich da keiner beschweren. Über die Performance lässt sich imho nur deswegen, weil die größten shared-Hoster es einsetzen, nicht viel sagen.
Comment (1)
#3.1.1.1 laZee on 2008-11-14 17:04 (Reply)
*Wir haben uns Aufgrund der höheren der Sicherheit, obwohl der schlechteren Perfomance dennoch für SuPHP entschieden, als günstige PHP-Lösung, ansonsten kommt FastCGI zum Einsatz: http://fortrabbit.de/blog/2010/06/sicheres-schnelles-php-hosting/
Comment (1)
#4 fortrabbit-frank (Homepage) on 2010-06-17 09:48 (Reply)
Add Comment

HTML-Tags will be converted to Entities.
Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Pavatar, Pavatar, Pavatar, Pavatar, Pavatar, Pavatar author images supported.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA
 
 

IPv6 Check

Verbunden über IPv4

Quicksearch

Blog Administration

Open login screen

Categories



All categories

Recently added

Wed, 2013-05-15 12:22"Von Mannheim zu d [...]"

Comments

Thilde about Von Mannheim zu den Sternen - Professor Heinz Haber wird 100
Thu, 2013-05-16 09:30
*Schön, vor allem eben auch seh r persönlich.Comments ()
Marc 'Zugschlus' Haber about Von Mannheim zu den Sternen - Professor Heinz Haber wird 100
Thu, 2013-05-16 00:03
*Dir wünsche ich viel Glück für Deine Prüfungen, und die Auss tellung schauen wir uns gemein sam an. Wir haben bei [...]Comments (2)
vvv.koehntopp.de about Von Mannheim zu den Sternen - Professor Heinz Haber wird 100
Wed, 2013-05-15 20:44
*Comments ()
Tobias Haber about Von Mannheim zu den Sternen - Professor Heinz Haber wird 100
Wed, 2013-05-15 18:59
*Eine wunderschöne Rede! es erfüllt mich mit schmerz das i ch an diesem tag nicht dabei s ein konnte. Aber nun kon [...]Comments ()
Ralf Hildebrandt about Von Mannheim zu den Sternen - Professor Heinz Haber wird 100
Wed, 2013-05-15 17:13
*Wirklich schöne Rede und eine nette Anekdote mit der Schacht el.Comments ()

Syndicate This Blog

Show tagged entries





































































































Template dropdown

Technorati

Twitter Timeline

Static Pages

Kontakt / Impressum