Hostsharing Wiki - Benutzerbeiträge [de]

PHP

2010-02-24T09:47:57Z

Frb00: Hinweis zu Safe Mode

{{HSDoku-Links}}

[[Kategorie:HSDoku]]
[[Kategorie:WWW]]

PHP wird heute bei HS standardmäßig per FastCGI vorkonfiguriert. Dafür wird in jedem Domainverzeichnis unter fastcgi/ eine phpstub Datei angelegt und der Apache Webserver ist konfiguriert .php Dateien über diesen "Stub" mit den Rechten des Users auszuführen.

=== Anpassung der PHP Grundkonfiguration ===

Um die PHP Konfiguration an eigene Bedürfnisse anzupassen legt man eine Konfigurationsdatei Namens php.ini oder php-cgi-fcgi.ini im fastcgi Verzeichnis der Domain an. (Für https:// entsprechend im -ssl Verzeichnis.) Als Vorlage kann eine php-cgi-fcgi.ini dienen, die vom HS PHP Maintainer ggf. unter /opt bereitgestellt wurde.

Beispiel:

cd doms/example.com/fastcgi/
cp /opt/php/X.Y.Z/etc/php-cgi-fcgi.ini php.ini

Und anschließend die php.ini anpassen.

'''Achtung:''' Kommentare nicht mit # einleiten (kann zu unerwarteten Fehlkonfigurationen führen), Kommentarzeichen ist das Semikolon ";".

Häufig anzupassen sind z.B.:

* die Content-Type charset= Vorgabe für den HTTP Header.

* der maximal verwendbare Hauptspeicher (memory_limit).

* die maximale Größe hochgeladener Dateien (post_max_size).

* die aktiven Extensions.

Beispiel: Durch das Löschen des ";" Kommentarzeichens vor "extension=mysql.so" werden z.B. die Module für den Zugriff Zugriff auf die GD-Library und MySQL über das klassische Modul aktiviert.

------8< SCHNIPP >8------
[..]
memory_limit = 16M (oder höher)

[..]
default_charset = "UTF-8"
; (ist sonst iso-8859-1)
; Der charset kann aber wiederum durch einen Funktionsaufruf
; header("Content-Type: text/html; charset=iso-8859-1")
; im PHP-Skript überschrieben werden (sofern output_buffering = On).

[..]
post_max_size = 8M

[..]
;extension=curl.so
extension=gd.so
;extension=imap.so
;extension=mcrypt.so
;extension=mhash.so
;extension=ming.so
extension=mysql.so
;extension=mysqli.so
;extension=odbc.so
;extension=pdo.so
;extension=pdo_mysql.so
------8< SCHNIPP >8------

'''Beachte:''' Eine geänderte php.ini Konfiguration wird mit FastCGI erst übernommen, wenn die PHP Prozesse des Users (die über längere Zeit laufen bleiben) neu gestartet werden.

Die Brechstange, mit der das Neustarten der PHP Prozesse erzwungen werden kann, ist diese zu killen:
killall php -u $USER

* Geht das Neuladen der Konfiguration nicht sanfter falls die Seiten stark frequentiert sind?

=== PHP Sicherheit ===

==== open_basedir ====

Sofern der PHP Parameter open_basdir nicht gesetzt ist (Vorgabe) können (kompromittierte) php Skripte an alle Dateien kommen des Users kommen, ohne einen extra Shellzugang installieren zu müssen und dadurch entdeckt zu werden.

Die Passwortabfrage von Hsadmin bringt eine Abhilfe für die zentralen Dienste. (Sofern Du dein Passwort nicht in eine Datei schreibst und die Abfrage so wieder ausschaltest, wovon besser abzusehen ist.) Doch alle Daten auf die Du als Benutzer zugreifen kannst sind prinzipiell den PHP-Skripten ausgeliefert.

Mit open_basedir wird festgelegt in welchen Verzeichnissen PHP Skripte lesen und schreiben dürfen. Geprüft wird dabei ob der zu öffnende Pfad mit dem angegebene Pfad beginnt. Es ist daher wichtig ob sich am Ende ein "/" befindet oder nicht. Ein open_basedir von /home/doms/example.org/subs/www (ohne /) erlaubt somit z.B. auch Zugriffe auf die Subdomain www2 etc.

Beispielzeile für die php.ini:
open_basedir = /home/doms/example.org/subs/

Wenn man mehrere Subdomains hat und diese isolieren möchte, ist dies durch Aufschaltung von lokalen Subdomains auf verschiedene User möglich. (Siehe [[Domain-Aufträge]] )

==== safe_mode ====
{{Textkasten|rot|Veraltete Option|Die Verwendung des Safe Mode wird explizit '''nicht''' empfohlen. Mit PHP 5.3.0 ist der Safe Mode veraltet, in PHP 6 gibt es diese Option nicht mehr.}}

Dank (Fast)CGI laufen PHP Skripte zwar "nur" mit Userrechten, dennoch ist es ratsam, den PHP safe_mode zu aktivieren, sofern dies mit den eingesetzten PHP Skripten möglich ist. Der safe_mode kann auch die Daten des Users vor (kompromittierten) PHP Skripten schützen. In der php.ini ist dafür die Option

safe_mode = On

zu setzten, und die weiteren Optionen sind zu prüfen.

Falls Systembefehle oder Shellskripte ausgeführt werden müssen, sollten diese über ein extra safe_mode_exec_dir außerhalb des open_basedir bereitgestellt werden (z.B. ~/priv/bin).

==== Sicherheitskritische Funktionen ====

Weitere Dinge die deaktiviert werden sollten, wenn sie nicht benötigt werden, was im allgemeinen der Fall ist, sind: Das öffnen von URLs als Dateien,

allow_url_fopen = Off

und die Ausführung von Systembefehlen.

disable_functions = show_source, system, passthru, shell_exec, exec, phpinfo, popen, proc_open

=== Spezielle PHP Versionen oder verschiedene Konfigurationen nebeneinander verwenden ===

==== Versionen ====

Um spezielle PHP Versionen zu nutzen kopiert man sich zunächst einen entsprechenden phpstub und eine passende Konfigurationsdatei in das fastcgi Verzeichnis. Die stubs für alternative Debian Versionen sind unter /usr/local/src/phpstub zu finden. Unter /opt/php stehen bei HS darüber hinaus ggf. weitere optionale PHP Versionen zur Verfügung. Für eine PHP_X.Y.Z Version in /opt/php beispielsweise geht man wie folgt vor:

cd doms/example.com/cgi/
cp /opt/php/X.Y.Z/bin/phpXYZstub .
cp /opt/php/X.Y.Z/etc/php-cgi-fcgi.ini .

Anschließend muss der Apache Webserver noch angewiesen werden auch diese bestimmte PHP Version zu verwenden. Dazu werden der [[.htaccess]] Datei im DocumentRoot der Domain zwei Zeilen hinzugefügt bzw. eine .htaccess mit den zwei Zeilenangelegt. Im Beispiel handelt es sich um die Domain www.example.com, also:

cd ~/doms/example.com/subs/www
vi .htaccess

Für Version X.Y.Z wären folgende zwei Zeilen einzugeben:

AddType application/x-httpd-phpcgi .php
Action application/x-httpd-phpcgi /cgi-bin/phpXYZstub

==== Verschiedene parallele Konfigurationen ====

Um verschiedene PHP Konfigurationen nebeneinander zu verwenden, kopierst Du den phpstub in ein Unterzeichnis von (fast)cgi(-ssl) und mappst nach Belieben deine PHP Dateien darauf. (Analog wie für eine andere PHP Version per [[.htaccess]]) So können beliebig viele Konfigurationen nebeneinander genutzt werden.

----
[[Kategorie:HSDoku]]
[[Kategorie:Installationsanleitungen]]
[[Kategorie:Software]]
[[Kategorie:Glossar]]

SSH-Hostkeys

2010-02-23T11:48:27Z

Frb00: h05 hinzugefügt

== Die SSH-Hostkeys der HS-Server ==

=== h01.hostsharing.net ===
'''Fingerprint 4096:''' d2:b4:37:48:55:97:16:22:31:df:32:32:87:97:43:b6

'''Public Key:'''

<nowiki>
h01.hostsharing.net,212.42.230.152 ssh-rsa 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
</nowiki>

=== h02.hostsharing.net ===
'''Fingerprint 4096:''' bb:42:9d:05:62:d3:70:bc:d2:d7:d2:0c:fe:95:af:8b

'''Public Key:'''

<nowiki>
h02.hostsharing.net,212.21.77.2 ssh-rsa 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
</nowiki>

=== h03.hostsharing.net ===
'''Fingerprint 4096:''' e0:ed:6e:71:79:d0:2f:97:66:f5:c1:30:1c:02:95:0d

'''Public Key:'''

<nowiki>
h03.hostsharing.net,212.42.230.164 ssh-rsa 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
</nowiki>

===h04.hostsharing.net===
'''Fingerprint 4096:''' b5:64:d0:d0:9b:9c:b4:c0:cb:27:69:d7:a7:a1:77:2a

'''Public Key:'''

<nowiki>
h04.hostsharing.net,212.42.230.179 ssh-rsa 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
</nowiki>

=== h05.hostsharing.net ===
'''Fingerprint 4096:''' 6c:03:f6:db:16:6f:2b:55:69:c9:26:68:06:c8:40:b1

'''Public Key:'''
<nowiki>
h05.hostsharing.net,83.223.95.101 ssh-rsa
AAAAB3NzaC1yc2EAAAABIwAAAgEA2TwZPxXl/nlcb/panCa5pncTMSXOAVasmFK3k4zED6GaTXBGhJpGELwC1xDiit7cegq9E25lNxzPOQFiNGycIG37q+5XAkVccxX
YoCyHkxAWd18EVVuHvIvp94x0xyp6fmdvqYYjo83JTJfszH3OZkkTUU4OBzGwDPjG/Cx+XG+9obLtmXXyVWIbHVLDF60CfVki6z+VDSku/ja088s5KXCPAIEiA8WDjv/RcRblFV
lSpPlzZf7lGZwypQcLSNyeT6yF2Sxh9erHLcK4lbpmX8fgaHC1WqaZ/yh4KDFFU41DUUsqOn61A1LVHd6Br80GAYw7RoazS05zal6GgbYAlNEr0oT1nPmDaF6NsWmcw4yHH4pb7
BGPZCpk9oec+bxPvKUbo22wD6mDj4i5e8YC0IvlJakyn/GwGDOhXeF+5oey0E2IpmPMlvqnjsPK2nrOxh1IN4wL+8RdXkzXd0KkB9RaFypbCn2YVqscOBAu6LDFcY9mI5Qt8Ktl
jZ0xLBK0Q2YYnXNTseFgDk7sIPxjarlwCL/fI/9O/rY/2NQXoTFfkLsuuJVT9pF5zPK3llvC/jLMPsSy8bgnz9iJRsHXbRUMWvKCwQsZC3QTarfy4NYtaLdsahnxoIEtHDFv7xA
Xm3oFGf+LHb2nxW6KtbbnDZ9fvM/RMrWBm8KdHmk/Ouc=
</nowiki>

=== h51.hostsharing.net ===

'''Fingerprint 4096:''' a4:51:81:6a:25:28:92:f6:3e:67:47:64:50:64:ce:f1

'''Public Key:'''

<nowiki>
h51.hostsharing.net,83.223.95.27 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAgEA5tRHc6jnAJ0Xyf9LOOSWrqInWruPEdaqjZCPSExSzdXzsDgaiFmCCbDKW/sb/NdTwadubTvZjWX8eaLIz4GPaz7x4yLlpa5Y1cyxUh4D9P6S6K2l3XoRGe5Yuq7zMXDMCbIqcJ5ENqdMtHpg+xo1xP0yBIND260j0UV/6mGHaVd3TRXgr+lcUpFvQWmOP9CwXiB7uE/QX21r7Np6rerivvbHX0SBk+1EVXwH4PiZ+z5mDYz85LlZbWhqtVVT1WnKUWZemOnSgS3mKR2Am8kzG/XbJBGQ/nB5E4o1Vx5jec4qB3Eo42bnDI3jY70Umup06z0wyknDzw9bzR7PwEAo3vZWsQYLqUQrH3WKLcCZ++sDxpztjwHlhaGwXvSxDvmElrh0fGTJQ0OFDzNzOiowjC9HXb4RSFKN6In6lqJVtDYQVlaHuZneX8EKnqM+00Gd0sFRtUgyb+GK/3FOZgxFXGyuK6HSoRevAAAVZTZBQhfLD6TLWhn9wOXQYhjLeKJiSavo1ftx6asWdDHy0QeyTC+rRjf2DN+9zGYkhUJb5k+x2yiaoOGky/9JITKMWW4R0gnz1ntH8+qbyXGEMZmWemfQA8GhvCxU/EnnymJhsgU5Bh+Dysb5Ko80Ko4ZmbY7c4hWJbceO57U1fZgxqj3nCoEOI1vVORlBVdKUGURzTE=
</nowiki>

=== h52.hostsharing.net ===
'''Fingerprint 4096:''' 79:4d:0c:10:f0:b8:8a:88:46:3f:99:0e:21:95:dd:85

'''Public Key:'''

<nowiki>
h52.hostsharing.net,83.223.95.100 ssh-rsa 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
</nowiki>

----
[[Kategorie:HSDoku]]
[[Kategorie:SSH]]