Suhosin で PHP スクリプト言語のセキュリティを強化

PHP は非常に人気のある Web サイトスクリプト言語ですが、その固有のセキュリティは非常に弱いです。この記事では、PHP 拡張プラン (Hardened-PHP プロジェクト) について説明し、新しい Suhosi プランは拡張された PHP セキュリティ構成を提供します。

PHP は物議を醸していますが、最も人気のある Web サイト スクリプト言語です。低価格であるため人気がありますが、その低価格により、PHP で作成された Web アプリケーションがますます増加しており、同時に PHP 自体のセキュリティの脆弱性も増えています。これらの機能は、PHP が非常に信頼性が低いことを示していますが、同時にスクリプト言語自体は非常に柔軟で、それを使用してコードを実装するのは簡単ですが、これらのコードは肥大化しており安全ではありません。ユーザー。あらゆる種類のアプリケーションが、SQL インジェクション、クロスサイト スクリプティング、任意の実行などに対して脆弱であるというこの脆弱性を何度も示していると想定できます。

safe_mode や open_basedir などの組み込みの PHP セキュリティ対策は無視されるため、PHP Enhancement Plan はより安全な PHP を作成し、PHP の検証チェックも実行します。当初、これらは拡張 PHP パッチを使用して行われていたため、PHP 自体にパッチを適用して再コンパイルする必要がありました。最近、PHP Enhancement Project は Suhosin と呼ばれる新しいプロジェクトをリリースしました。

Sohosin は 2 つの部分で構成されています。最初の部分は PHP 用のパッチで、バッファ オーバーフローの可能性を回避し、関連する弱点を防ぐために Zend エンジン自体を強化します。 2 番目の部分は、PHP のスタンドアロン モジュールである Suhosin の拡張です。 2 つの部分は連携して動作することも、拡張機能が独立して動作することもできます。

開発者はセキュリティを実現するために常に独自の PHP インストール設定を維持することを望んでいませんし、ベンダーが提供する Linux ディストリビューション システム上で PHP を直接使用することを好むのは確かです。拡張モジュールを使用すると、PHP 自体では得られない多くの安全性を提供できます。特徴。

拡張機能はインストールが簡単です; PECL経由でインストールすることも、ダウンロードしてコンパイルすることもできます:

$ tar /configure

$ make

$ sudo make install

suhosinを使用するには、次のことも必要です。以下に示すように /etc/php.ini を追加します。

extension=suhosin.so

ほとんどの人にとってデフォルトの設定 オプションで十分です。設定を強化するには、/etc/php.ini に対応する値を追加します。さまざまな構成オプションについては、Web サイトで詳しく紹介されています。これらの手順は、初期構成に役立ちます。

Suhosin を使用すると、これらのログをシステム ログに保存したり、同時に他のログ ファイルに書き込んだりできます。また、各仮想ホストのブラックリストとホワイトリストを作成することもできます。 POST リクエスト、ファイルのアップロード、Cookie など。暗号化されたセッションや Cookie を送信したり、送信できないストレージを設定したりすることもできます。オリジナルの PHP 強化パッチとは異なり、Suhosin は Zend Optimizer などのサードパーティの拡張ソフトウェアと互換性があります。 PHP は非常に人気のある Web サイト スクリプト言語ですが、その固有のセキュリティは非常に弱いです。この記事では、PHP 拡張プラン (Hardened-PHP プロジェクト) について説明し、新しい Suhosi プランは拡張された PHP セキュリティ構成を提供します。

PHP は物議を醸していますが、最も人気のある Web サイト スクリプト言語です。低価格であるため人気がありますが、その低価格により、PHP で作成された Web アプリケーションがますます増加しており、同時に PHP 自体のセキュリティの脆弱性も増えています。これらの機能は、PHP が非常に信頼性が低いことを示していますが、同時にスクリプト言語自体は非常に柔軟で、それを使用してコードを実装するのは簡単ですが、これらのコードは肥大化しており安全ではありません。ユーザー。あらゆる種類のアプリケーションが、SQL インジェクション、クロスサイト スクリプティング、任意の実行などに対して脆弱であるというこの脆弱性を何度も示していると想定できます。

safe_mode や open_basedir などの組み込みの PHP セキュリティ対策は無視されるため、PHP Enhancement Plan はより安全な PHP を作成し、PHP の検証チェックも実行します。当初、これらは拡張 PHP パッチを使用して行われていたため、PHP 自体にパッチを適用して再コンパイルする必要がありました。最近、PHP Enhancement Project は Suhosin と呼ばれる新しいプロジェクトをリリースしました。

Sohosin は 2 つの部分で構成されています。最初の部分は PHP 用のパッチで、バッファ オーバーフローの可能性を回避し、関連する弱点を防ぐために Zend エンジン自体を強化します。 2 番目の部分は、PHP のスタンドアロン モジュールである Suhosin の拡張です。 2 つの部分は連携して動作することも、拡張機能が独立して動作することもできます。

開発者は、セキュリティを実現するために常に独自の PHP インストール設定を維持することを望んでいませんし、ベンダーが提供する Linux ディストリビューション システム上で PHP を直接使用することを確実に好みます。拡張モジュールを使用すると、PHP 自体では得られない多くの安全性を実現できます。特徴。

拡張モジュールはインストールが簡単です。PECL を通じてインストールすることも、ダウンロードしてコンパイルしてインストールすることもできます。

$ tar 以下に示すように、/etc/ php.ini を追加する必要があります:

extension=suhosin.so

ほとんどの人にとって、デフォルトの設定オプションで十分です。設定を強化するには、/etc/php.ini に対応する値を追加します。さまざまな構成オプションについては、Web サイトで詳しく紹介されています。これらの手順は、初期構成に役立ちます。

Suhosin を使用すると、これらのログをシステム ログに保存したり、同時に他のログ ファイルに書き込んだりできます。また、各仮想ホストのブラックリストとホワイトリストを作成することもできます。 POST リクエスト、ファイルのアップロード、Cookie など。暗号化されたセッションや Cookie を送信したり、送信できないストレージを設定したりすることもできます。オリジナルの PHP 強化パッチとは異なり、Suhosin は Zend Optimizer などのサードパーティ拡張機能と互換性があります。

その他の関連コンテンツについては、PHP 中国語 Web サイト (www.php.cn) にご注意ください。