PHP

Aus Hostsharing Wiki
Version vom 27. Januar 2024, 18:04 Uhr von Hsh-peterhormanns (Diskussion | Beiträge) (Umbenennung phpstub -> hs-phpstub)
Zur Navigation springen Zur Suche springen

PHP wird bei Hostsharing per FastCGI ausgeführt. Dafür wird in jedem Domainverzeichnis unter "fastcgi/" und "fastcgi-ssl/" eine "hs-phpstub"-Datei angelegt. Der Apache Webserver ist konfiguriert .php Dateien über diesen "Stub" mit den Rechten des Users auszuführen.

Zur Wiederherstellung des originalen "hs-phpstub" ist dieser zentral im Verzeichnis

 /usr/local/src/phpstub

abgelegt.

Anwender, die lediglich PHP-Dateien hochgeladen haben, brauchen ausdrücklich keine eigene php.ini.

Auswahl der PHP-Version

In HSAdmin kann pro Domain festgelegt werden, welche PHP-Version der "hs-phpstub" für das Ausführen von PHP-Skripten verwendet. Zur Zeit werden die PHP-Version 8.2, 8.1, 8.0 und 7.4 unterstützt.

Anpassung der PHP Konfiguration

Die Datei "php.ini" wird zur Konfiguration des PHP-Intergreters verwendet. Die Voreinstellungen können pro Domain überschrieben werden. Dazu legt der Domain-Administrator im Verzeichnis "fastcgi-ssl/" (bzw. "fastcgi/") eine eigene Datei "php.ini" an.

Der komplette Pfad zu dieser Datei lautet zum Beispiel (für den Webspace "xyz00" den Domain-User "xyz00-meinbenutzer" und die Domain "meinedomain.de"):

 /home/pacs/xyz00/users/meinbenutzer/doms/meinedomain.de/fastcgi-ssl/php.ini 

In dieser Datei müssen nicht alle Konfigurationsoptionen von PHP definiert sein, sondern nur die, die sich gegenüber der Standard php.ini ändern sollen. Diese liegt in /etc/php/VERSIONSNUMMER/cgi und kann dort eingesehen werden.

Achtung: Kommentare nicht mit # einleiten (kann zu unerwarteten Fehlkonfigurationen führen), Kommentarzeichen ist das Semikolon ";".

Häufig anzupassen sind z.B.:

  • die Content-Type charset= Vorgabe für den HTTP Header.
  • der maximal verwendbare Hauptspeicher (memory_limit).
  • die maximale Größe hochgeladener Dateien (post_max_size).
  • die aktiven Extensions.


Beispiel einer php.ini:

 ------8< SCHNIPP >8------
 [..]
 memory_limit = 128M (default)
 post_max_size = 8M (default)
 upload_max_filesize = 2M (default)
 display_errors = Off (default)
 log_errors = Off (default)
 error_log = /home/pacs/xyz00/users/meinbenutzer/doms/meinedomain.de/fastcgi-ssl/php_errors.log

 [..]
 default_charset = "UTF-8"
 ; (ist sonst iso-8859-1)
 ; Der charset kann aber wiederum durch einen Funktionsaufruf
 ; header("Content-Type: text/html; charset=iso-8859-1")
 ; im PHP-Skript überschrieben werden (sofern output_buffering = On).
 ------8< SCHNIPP >8------

Beachte: Eine geänderte php.ini Konfiguration wird mit FastCGI erst übernommen, wenn die PHP Prozesse des Users (die über längere Zeit laufen bleiben) neu gestartet werden.

Man kann ein Neustarten der PHP Prozesse mit dem folgenden Kommando erzwingen:

 killall -u $USER -r php

$USER enhält als Umgebungsvariable den aktuell angemeldeten Benutzer und muss nicht durch den Benutzernamen (xyz00 oder xyz00-user) ersetzt werden. Nur die Prozesse des angemeldeten Users $USER werden gelöscht. "-r" bewirkt, dass der Ausdruck "php" als regulärer Ausdruck interpretiert wird. Intern heißen die sichtbaren Prozesse nicht "php" sondern beispielsweise "php7.4"

PHP Sicherheit

open_basedir

Sofern der PHP Parameter open_basdir nicht gesetzt ist (Vorgabe) können (kompromittierte) php Skripte an alle Dateien des Users kommen, ohne einen extra Shellzugang installieren zu müssen und dadurch entdeckt zu werden.

Die Passwortabfrage von Hsadmin bringt eine Abhilfe für die zentralen Dienste. (Sofern Du dein Passwort nicht in eine Datei schreibst und die Abfrage so wieder ausschaltest, wovon besser abzusehen ist.) Doch alle Daten auf die Du als Benutzer zugreifen kannst sind prinzipiell den PHP-Skripten ausgeliefert.

Mit open_basedir wird festgelegt in welchen Verzeichnissen PHP Skripte lesen und schreiben dürfen. Geprüft wird dabei ob der zu öffnende Pfad mit dem angegebene Pfad beginnt. Es ist daher wichtig ob sich am Ende ein "/" befindet oder nicht. Ein open_basedir von /home/doms/example.org/subs/www (ohne /) erlaubt somit z.B. auch Zugriffe auf die Subdomain www2 etc.

Beispielzeile für die php.ini:

open_basedir = /home/doms/example.org/subs/

Wenn man mehrere Subdomains hat und diese isolieren möchte, ist dies durch Aufschaltung von lokalen Subdomains auf verschiedene User möglich. (Siehe https://doc.hostsharing.net/users/administration/domain/index.html )

Sicherheitskritische Funktionen

Weitere Dinge die deaktiviert werden sollten, wenn sie nicht benötigt werden, was im allgemeinen der Fall ist, sind: Das öffnen von URLs als Dateien,

allow_url_fopen = Off

und die Ausführung von Systembefehlen.

disable_functions = show_source, system, passthru, shell_exec, exec, phpinfo, popen, proc_open


eigene PHP Konfigurationen und verschiedene nebeneinander verwenden

Um verschiedene PHP Konfigurationen nebeneinander zu verwenden, kopierst Du einen eigenen "phpstub" in ein Unterzeichnis von (fast)cgi(-ssl) und mappst (Einträge in der .htaccess) nach Belieben deine PHP Dateien darauf. So können beliebig viele Konfigurationen bei einer Domain nebeneinander genutzt werden.

Beispiel muster.example.com

mkdir ~/doms/example.com/fastcgi/muster
cp ~/doms/example.com/fastcgi/phpstub ~/doms/example.com/fastcgi/muster/phpstub

und wenn benötigt:
vi ~/doms/example.com/fastcgi/muster/php.ini

Anschließend muss der Apache Webserver noch angewiesen werden auch diese bestimmte Konfiguration von PHP zu verwenden. Dazu werden der .htaccess Datei im DocumentRoot der Sub-Domain zwei Zeilen hinzugefügt bzw. eine .htaccess mit den zwei Zeilen angelegt. Im Beispiel handelt es sich um die Domain muster.example.com, also:

 cd ~/doms/example.com/subs/muster
 vi .htaccess

 AddType application/x-httpd-phpfastcgi .php
 Action application/x-httpd-phpfastcgi /fastcgi-bin/muster/phpstub

Vorinstallierte PHP Version wechseln

Hostsharing stellt neben der aktuellen Standardversion PHP 8.2 auch die Versionen PHP 7.4, 8.0 und 8.1 zur Verfügung.


PHP 8.2 für ssh-Zugang per Shell aktivieren

Möchte man an der Shell immer /usr/bin/php8.0 statt /usr/bin/php aufrufen, dann kann der Befehl auch in die Datei "~/.profile" ergänzt werden mit der Zeile:

alias php='/usr/bin/php8.0'

Nach Aktualisierung der Datei "~/.profile" noch eingeben

$ source ~/.profile

Dann sollte der Aufruf php -v die version php 8.0 zurückgeben.

Gleiches gilt natürlich auch andere bei HS verfügbare PHP Versionen.

Alternative: PATH Variable setzen

Eine Alternative ist die Nutzung einer alternativen Verlinkung und das setzen eines eigenen Pfades Composer, oder andere php Scripte können auch als Programme php aufrufen, wenn sie dazu die Version aus /usr/bin/env nutzen, bekommen Sie die Standard PHP version geliefert, beispielsweise php7.4. Dieser Aufruf umgeht jeglichen Alias in ~/.profile oder ~/.bash_profile Welche verlinkung in /usr/bin/env gesetzt ist lässt sich überprüfen durch den Befehl:

$ which php

sollte ergeben:

/usr/bin/php

(und dies ist verlinkt mit irgendeiner System PHP Version zum Beispiel php7.4

Anstelle der Nutzung also eines Alias wird nun einfach ein symbolischer Link an eine gewünschte Position gesetzt, zum Beispiel mit:

$ mkdir /home/doms/example.com/app/php8.2
$ ln -s /usr/bin/php8.2 /home/doms/example.com/app/php8.2/<strong>php</strong>

(wichtig, es muss hier als "php" benannt werden"

Nun wird der Pfad um diesen Punkt erweitert: in ~/.profile oder ~/.bash_profile

PATH="/home/doms/example.com/app/php8.2:$PATH"

Nun liegt der Pfad noch vor dem Systempfad, was sich durch den Befehl

$ echo $PATH

überprüfen lässt:

hier steht jetzt so etwas wie:

<strong>/home/doms/example.com/app/php8.2</strong>:/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games

das heißt, bevor der Aufruf des Befehls php in /usr/bin/ danach sucht, hat er das Script "php" schon in dem neu erstellten Ordner gefunden und ruft diesen auf. Diese PATH Variable funktioniert nun natürlich genauso für alle Bash / cli Eingaben und ersetzt die Vergabe von Alias.

$ which php

ergibt nun:

/home/doms/example.com/app/php8.2/php

Eigene PHP Version

Es kann auch eine eigene PHP Version im Paket installiert werden. Eine Kurzanleitung ist unter Eigene_PHP_Version beschrieben.

Eigener PHP FPM Prozess

auf einem Managed Server kann jeder Nutzer nach belieben auch php-fpm als eigenen Prozess starten. Ein paar Notizen dazu finden sich auf der Seite PHP_FPM.