Aktiviert habe ich damals die Dotdeb-Paketverwaltung um in den Genuss von suhosin zu kommen, jedoch ist diese inzwischen auch im offiziellen Debian verfügbar.

Jetzt scheiterte aber die Installation von php5-curl per apt-get install mit dem Hinweis:

Hängt ab: php5-common (= 5.2.0-8+etch13) aber 5.2.8-0.dotdeb.1 soll installiert werden
E: Kaputte Pakete

Ein Blick in die Quellpakete von Dotdeb bestätigte den Verdacht, dass das gesuchte Paket dort gar nicht vorhanden ist. Anscheinend waren dort mal mehr php5 Pakete verfügbar, denn installiert waren noch weitere von dotdeb:

# dpkg –list | grep dotdeb
ii  php5-cli                          5.2.8-0.dotdeb.1
ii  php5-common                       5.2.8-0.dotdeb.1
ii  php5-dev                          5.2.8-0.dotdeb.1
ii  php5-gd                           5.2.8-0.dotdeb.1
ii  php5-mysql                        5.2.8-0.dotdeb.1
ii  php5-suhosin                      5.2.8-0.dotdeb.1

Nach einem zusätzlichen Vollbackup des Servers und einem auskommentieren der dotdeb-Quelle aus der Datei /etc/apt/sources.list ging es an die Deinstallation der ausgelisteten Pakete inklusive aller Konfigurationsdateien:

dpkg –purge php5-gd php5-mysql php5-common libapache2-mod-php5 php5-cli

dies scheiterte zunächst, da Debian richtigerweise bemerkte, dass manche Programme von den zu löschenden noch benötigt wurden. Temporär wurden diese dann kurzerhand auch deinstalliert, aber die Konfiguration beibehalten:

apt-get remove phpmyadmin phpsysinfo squirrelmail libphp-phpmailer

Nach der Neuinstallation aller Pakete aus der offiziellen Debian-Quelle, sowie der temporär deinstallierten Pakete, musste lediglich die mysql-Unterstützung in der php.ini händisch wieder aktiviert werden:

extension=mysql.so

Anschließend konnte ich erfolgreich php5-curl installieren:

apt-get install php5-curl
Paketlisten werden gelesen… Fertig
Abhängigkeitsbaum wird aufgebaut… Fertig
Die folgenden NEUEN Pakete werden installiert:
php5-curl

Vielleicht hätte das auch anders funktioniert.

Wenn man WordPress in der stabilen Version installiert erhällt man leider nicht die aktuellste, jedoch eine Version die gut auf Sicherheitslücken getestet wurde. Die unstabile Version hält dahingehend jedoch bereits mehr neue Features vor.

Indem man gezielt WordPress aus dem unstable Bereich installiert, ohne jedoch das ganze System aktualisieren zu müssen, kommt man mit einem stable-Debian an ein aktuelles WordPress – dank apt-pinning.

Zuallererst wird die Datei /etc/apt/sources.list erweitert um die folgenden Einträge:

deb ftp://ftp.uni-erlangen.de/pub/Linux/debian/ unstable main non-free contrib

In der Datei /etc/apt/preferences wird festgelegt welche Priorität das bestehende stabile System zu den neuen unstabilen Quellen hat:

Package: *
Pin: release a=stable
Pin-Priority: 700
Package: wordpress
Pin: release a=unstable
Pin-Priority: 710
Package: *
Package: libjs-scriptaculous
Pin: release a=unstable
Pin-Priority: 710
Package: libjs-prototype
Pin: release a=unstable
Pin-Priority: 710
Package: tinymce
Pin: release a=unstable
Pin-Priority: 710
Pin: release o=Debian
Pin-Priority: -10

Der erste Block legt die Priorität der stabilen Version mit 700 fest. Im zweiten Block wird definiert, dass die unstabile Version von WordPress mit 710 eine höhere Priorität hat, also vor der stabilen Version steht. Der dritte Block ist nur nötig, wenn man seine php-Version von dotdeb bezogen hat, denn dann liegen diese Pakete zwischen vom Status dazwischen und beim nächsten apt-get update && apt-get upgrade würden diese gegen die unstable-Version ersetzt. Wichtig ist, dass diese Prioritätsangabe später nicht mehr geändert werden kann. Bei Problemen hilft die Übersicht von apt-cache policy wordpress weiter.

Mit apt-get update && apt-get upgrade kommen die aktuellen Paketlisten in das System. Es ist sehr wahrscheinlich, dass der folgende Fehler eintreten wird:

Paketlisten werden gelesen… Fehler!
E: Dynamic MMap ran out of room
E: Ein Fehler trat beim Bearbeiten von kadu-external-modules auf (NewVersion1)
E: Problem with MergeList /var/lib/apt/lists/ftp.uni-erlangen.de[...]
E: Die Paketliste oder die Statusdatei konnte nicht geparst oder geöffnet werden.

Der Cache-Speicher von Debian reicht nicht aus die neu hinzugekommene Liste der Pakete zu speichern. Dies wird in der Datei /etc/apt/apt.conf neben der Nennung der Primären Debian Version angepasst. Wichtig dabei ist eine darauffolgende letzte Leerzeile:

APT::Default-Release “stable”;
APT::Cache-Limit 16777216;

Nach einem erneuten Update der Paketlisten kann nun das aktuelle WordPress installiert werden. Über den Parameter -t wird die Version angegeben und gleichzeitig werden auch die Abhängigkeiten beachtet. Falls WordPress schon zuvor in der stable-Version installiert war, sieht die Ausgabe wie folgt aus:

apt-get -t unstable install wordpress
Paketlisten werden gelesen… Fertig
Abhängigkeitsbaum wird aufgebaut… Fertig
Die folgenden zusätzlichen Pakete werden installiert:
libphp-phpmailer
Die folgenden NEUEN Pakete werden installiert:
libphp-phpmailer
Die folgenden Pakete werden aktualisiert:
wordpress
1 aktualisiert, 1 neu installiert, 0 zu entfernen und 371 nicht aktualisiert.
[...]
Vorbereiten zum Ersetzen von wordpress 2.0.10-1etch1 (durch …/wordpress_2.5.0-1_all.deb) …

Nun liegt die aktuelle WordPress-Version unter /usr/share/wordpress/ bereit. Zur Einrichtung von WordPress folgt später noch ein Eintrag hier.

Englische Anleitung: apt-pinning
Englisches Handbuch: apt_preferences

Update vom 02.07.2008: /etc/apt/preferences an WordPress 2.5.1-4 angepasst.

Hier hilft vorbeugen. Suhosin ist ein umfangreiches Schutzsystem für die eigene PHP Installation. Entwickelt wurde dieser Patch, um Server und Benutzer sowohl vor bekannten und unbekannten Fehlern in PHP Anwendungen als auch im PHP Kern zu schützen. Suhosin besteht aus zwei voneinander unabhängigen Teilen, welche entweder einzeln oder auch kombiniert verwendet werden können.

Der erste Teil ist ein kleiner Patch im PHP Kern, der verschiedene Schutzfunktionen vor low-level Pufferüberläufen und zum Schutz von Format String Schwachstellen, die noch nicht beseitigt wurden oder konsstruktionsbedingt nicht vollständig geschützt werden können.

Der zweite Teil des Suhosin Schutzsystems ist eine mächtige, leistungsfähige PHP Erweiterung, die alle anderen Schutzfunktionen anbietet. Anders als der PHP Patch zur PHP Härtung ist Suhosin binär kompatibel zur PHP Installation und ist ein Mittel, die einer PHP Installation eine binäre Erweiterung beifügt, wie sie beispielsweise auch durch den ZendOptimizer hinzugefügt werden kann. Im weitesten Sinn ist Suhosin also eine Erweiterung für PHP.

Seit Debian Etch ist Suhosin auch als Paket erhältlich und muss also nicht selber kompiliert werden. Da jedoch Debian von Natur aus sehr konservativ gegenüber neuen Version ist, sollte man sich überlegen diese PHP-Pakete von einer externen Quelle zu beziehen.

Hier bietet sich dotdeb.org an. Was genau in die /etc/apt/sources.list eingetragen werden muss um in den Genuss der aktuellsten Pakete zu kommen steht auf der Webseite. Zu Beachten ist jedoch das diese Pakete wie gesagt von einer externen Quelle stammen und Debian entsprechend vor der Installation warnt.

apt-get install php5-suhosin

hiermit installieren wir suhosin. Da es kein gewöhnliches Plugin für Apache ist, muss es auch nicht erst aktiviert werden, sondern ist nach einem Neuladen der Konfiguration mit sofort aktiv:

apache2ctl graceful

Überprüfen wir das Ganze indem wir eine info.php erstellen und die folgenden Zeilen einfügen:

<?
phpinfo();
?>

wir finden dort einen Eintrag wie

This server is protected with the Suhosin Patch 0.9.6.2
Copyright (c) 2006 Hardened-PHP Project

im Error-Log von Apache finden wir nun immer die abgefangenen Anfragen, z.b.

[Thu Jun 28 21:41:50 2007] [error] [client 12.23.34.45] ALERT – configured GET variable value length limit exceeded – dropped variable ‘content’ (attacker ’12.23.34.45′, file ‘/var/www/example.com/www/htdocs/(…).php’), referer: http://example.com/(…).php

Hier noch die Links:

Suhosin
Debain Suhosin
dotdeb