Aktiviert habe ich damals die Dotdeb-Paketverwaltung um in den Genuss von suhosin zu kommen, jedoch ist diese inzwischen auch im offiziellen Debian verfügbar.

Jetzt scheiterte aber die Installation von php5-curl per apt-get install mit dem Hinweis:

Hängt ab: php5-common (= 5.2.0-8+etch13) aber 5.2.8-0.dotdeb.1 soll installiert werden
E: Kaputte Pakete

Ein Blick in die Quellpakete von Dotdeb bestätigte den Verdacht, dass das gesuchte Paket dort gar nicht vorhanden ist. Anscheinend waren dort mal mehr php5 Pakete verfügbar, denn installiert waren noch weitere von dotdeb:

# dpkg –list | grep dotdeb
ii  php5-cli                          5.2.8-0.dotdeb.1
ii  php5-common                       5.2.8-0.dotdeb.1
ii  php5-dev                          5.2.8-0.dotdeb.1
ii  php5-gd                           5.2.8-0.dotdeb.1
ii  php5-mysql                        5.2.8-0.dotdeb.1
ii  php5-suhosin                      5.2.8-0.dotdeb.1

Nach einem zusätzlichen Vollbackup des Servers und einem auskommentieren der dotdeb-Quelle aus der Datei /etc/apt/sources.list ging es an die Deinstallation der ausgelisteten Pakete inklusive aller Konfigurationsdateien:

dpkg –purge php5-gd php5-mysql php5-common libapache2-mod-php5 php5-cli

dies scheiterte zunächst, da Debian richtigerweise bemerkte, dass manche Programme von den zu löschenden noch benötigt wurden. Temporär wurden diese dann kurzerhand auch deinstalliert, aber die Konfiguration beibehalten:

apt-get remove phpmyadmin phpsysinfo squirrelmail libphp-phpmailer

Nach der Neuinstallation aller Pakete aus der offiziellen Debian-Quelle, sowie der temporär deinstallierten Pakete, musste lediglich die mysql-Unterstützung in der php.ini händisch wieder aktiviert werden:

extension=mysql.so

Anschließend konnte ich erfolgreich php5-curl installieren:

apt-get install php5-curl
Paketlisten werden gelesen… Fertig
Abhängigkeitsbaum wird aufgebaut… Fertig
Die folgenden NEUEN Pakete werden installiert:
php5-curl

Vielleicht hätte das auch anders funktioniert.

Dazu in der Datei /etc/php5/apache2/php.ini folgende Änderungen nötig:

display_errors = Off
log_errors = On
error_log = /var/log/php_error.log

Liste der php.ini-Direktiven

Ein übliches Vorgehen ist es solche Dateien erst gar nicht in das root Verzeichnis abzulegen, sondern auf gleicher Ebene parallel zum htdocs-Ordner. Da dies mitunter nicht möglich ist, werden Dateien mit der Endung .inc in einem Unterordner abgelegt und sind so für Besucher einsehbar.

Um dies zu vermeiden hilft die folgende Einstellung die man im jeweiligen vhost von Apache hinterlegt:

<Files ~ “\.inc$”>
Order allow,deny
Deny from all
</Files>

Ruft ein Besucher nun diese Datei auf, so erhält er eine Fehlermeldung statt dem Inhalt der Datei. Von PHP aus ist der Zugriff auf die Datei weiterhin möglich um z.B. Kennwörter zur Datenbank auszulesen.

Wie kann ich mein Datenbankpasswort gegen Spionage sichern?

Mit php 4.4.8 ist vermutlich die letzte Version von PHP4 erschienen. Der Support für diesen Versionszweig wurde somit auch mit Ablauf des Jahres 2007 eingestellt. Darum ist es sinnvoll auf die aktuelle Version zu aktualisieren, was jedoch auf einem Produktiv-Server nicht so einfach möglich ist, da eventuell Anhängigkeiten bestehen. Auf der Internetseite von PHP sind Tipps und eine FAQ bereitgestellt.

Üblicherweise läuft auf dem Server bereits php4 als Apache-Modul. Aufgrund der Anhängigkeiten von Debian ist es nicht möglich php5 als Zusatzmodul zu installieren, da sonst direkt php4 deinstalliert würde. Darum wird php5 mit den benötigten Zusatzmodulen als CGI-Modul (Wikipedia) eingerichtet:

apt-get install php5-cgi php5-gd php5-mcrypt php5-mhash php5-mysql php5-recode

Der Reihe nach werden nun einige Apache-Module aktiviert, die wie actions benötigt werden, sonst läuft php5 nicht als CGI-Modul:

a2enmod actions
a2enmod ssl
a2enmod rewrite
a2enmod suexec
a2enmod include

Die Konfiguration findet in der Datei /etc/apache2/apache2.conf statt, wo auch AddType und AddHandler definiert werden:

ScriptAlias /cgi-bin/ “/usr/lib/cgi-bin/”
AddType application/x-httpd-php5 .php5
Action application/x-httpd-php5 “/cgi-bin/php”

Somit werden alle Dateien mit der Endung .php5 vom CGI-Modul verarbeitet statt mit dem Apache-Modul. Alle Dateien jedoch umzubenennen wäre jetzt eine Menge Arbeit. Es geht einfacher indem im gewünschten VHost, die folgenden Zeilen eingetragen werden:

<VirtualHost *:80>
<Directory /var/www/htdocs >
Options +ExecCGI
</Directory>
AddType application/x-httpd-php5 .php
</VirtualHost>

Nun werden alle Dateien mit php5 ausgeliefert und die Seite kann ausgiebig getestet werden bevor der komplette Umstieg von php4 zu php5 gemacht wird.

Ein testen der aktuellen Konfiguration und ein anschließender Neustart ist selbsverständlich:

apache2ctl configtest
apache2ctl restart

Die Beschleunigung der auszuliefernden Seiten wird mit eAccelerator (Wikipedia) dadurch erreicht, das diese auf dem Server in einer bereits kompilierten Version gespeichert werden. Bei einem erneuten Aufruf der der gleichen Seite entfällt das wiederholte umwandeln durch PHP, da nun die Seite aus dem Zwischenspeicher geladen wird.

Zunächst müssen unter Debian einige notwendige Pakte installiert werden, passend zur PHP-Version.

apt-get install make bzip2 php5-dev

Die aktuelle Version von eAccelerator wird z.b. mit wget runtergeladen, entpackt, kompiliert und installiert:

tar jxvf eaccelerator-0.9.5.2.tar.bz2
cd eaccelerator-0.9.5.2
/usr/bin/phpize
./configure –enable-eaccelerator=shared –with-php-config=/usr/bin/php-config
make
make install

Jetzt wird PHP noch in der Datei /etc/php5/apache2/php.ini konfiguriert

; eaccelerator
extension=”eaccelerator.so”
eaccelerator.shm_size=”128″
eaccelerator.cache_dir=”/var/cache/eaccelerator”
eaccelerator.enable=”1″
eaccelerator.optimizer=”1″
eaccelerator.check_mtime=”1″
eaccelerator.debug=”0″
eaccelerator.filter=”"
eaccelerator.shm_max=”0″
eaccelerator.shm_ttl=”0″
eaccelerator.shm_prune_period=”0″
eaccelerator.shm_only=”0″
eaccelerator.compress=”1″
eaccelerator.compress_level=”9″
eaccelerator.allowed_admin_path=”/var/www/webserverpfad/htdocs/”

Das Verzeichnis für den Zwischenspeicher wird angelegt und die Steuer-Datei in das gewünscht Verzeichnis kopiert. Das Zugangsdaten sind dort natürlich noch zu ändern.

mkdir /var/cache/eaccelerator
cp control.php /var/www/webserverpfad/htdocs/eaccelerator.php

Von der einwandfreien Funktion kann man sich nun nach einen Serverneustart mit einem phpinfo(); und über einen Blick in die Steuer-Datei überzeugen.

Um den ungefähren Standort einer IP-Adresse (Wikipedia) in einer Landkarte anzuzeigen, wird das sog. Geotargeting (Wikipedia) verwendet.

1. Voraussetzungen

Dazu ist neben einem kostenlosen “Google Maps API key” eine Datenbank nötig, welche der IP-Adressen einer geografischen Position zuordnen kann. Der Hersteller MaxMind bietet mit GeoLite City eine kostenlose Datenbank (LGPL-Lizenz) welche dazu optimal geeignet ist.

2. Installation von PEAR Net_GeoIP

In Kombination mit dem PHP PEAR-Paket Net_GeoIP können nun Anfragen an die Datenbank gestellt werden um diese grafisch ausgegeben zu können. Dieses Paket befindet sich zwar unverändert seit einem Jahr im Beta-Stadium, kann aber einfach installiert werden über:

pear install channel://pear.php.net/Net_GeoIP-1.0.0RC1

3. Programmfunktion mit AJAX (index.php)

Aktuell ist der Web 2.0 Standards (Wikipedia) das Maß der Dinge, warum auch hier AJAX (Wikipdia) eingesetzt wird. Dazu gilt es zu allererst zu beachten, dass die Browser intern unterschiedlich die Daten anfordern. Um dies zu umgehen gibt es eine Möglichkeit um XMLHttpRequest Anfragen im Internet-Explorer und in anderen Browsern gleichermaßen zu behandeln. Eine Erklärung der einzelnen Funktionen der Google-Map lässt sich über die umfangreiche API-Dokumentation nachschlagen.

4. Zugriff auf die Datenbank (GeoLiteCity.php)

Aus der Datenbank werden nur die Koordinaten-Werte (Latitude/Longitude) benötigt. Weitere Ausgaben wie Stadt und Region sind ebenfalls möglich. Diese würden sich dann ebenfalls in der Landkarte anzeigen lassen.

5. Finale

Beispiel
Download

Den aktuellen auskunftsfreudigen Zustand des Servers kann man mit dem Firefox Add-on Live HTTP Headers überprüfen:

X-Powered-By: PHP/5.2.3

Es hat nichts mit mehr Sicherheit zu tun diese Ausgabe zu verhindern, jedoch teilt man so einem Freizeit-Hacker nicht gleich mit, für welche Version Sicherheitslücken gefunden werden können.

In der Konfigurations-Datei für PHP, also der php.ini, gibt es eine Einstellung die wie folgt verändert werden kann um die Versionsnformationen nicht mehr anzuzeigen:

expose_php = Off

nach einem neuladen der Konfigurationsdateien mit

apache2ctl graceful

steht Apache wieder bereit, jetzt jedoch ohne “X-Powered-By” Feld.

Beschreibung der core php.ini Einstellungen

Hier hilft vorbeugen. Suhosin ist ein umfangreiches Schutzsystem für die eigene PHP Installation. Entwickelt wurde dieser Patch, um Server und Benutzer sowohl vor bekannten und unbekannten Fehlern in PHP Anwendungen als auch im PHP Kern zu schützen. Suhosin besteht aus zwei voneinander unabhängigen Teilen, welche entweder einzeln oder auch kombiniert verwendet werden können.

Der erste Teil ist ein kleiner Patch im PHP Kern, der verschiedene Schutzfunktionen vor low-level Pufferüberläufen und zum Schutz von Format String Schwachstellen, die noch nicht beseitigt wurden oder konsstruktionsbedingt nicht vollständig geschützt werden können.

Der zweite Teil des Suhosin Schutzsystems ist eine mächtige, leistungsfähige PHP Erweiterung, die alle anderen Schutzfunktionen anbietet. Anders als der PHP Patch zur PHP Härtung ist Suhosin binär kompatibel zur PHP Installation und ist ein Mittel, die einer PHP Installation eine binäre Erweiterung beifügt, wie sie beispielsweise auch durch den ZendOptimizer hinzugefügt werden kann. Im weitesten Sinn ist Suhosin also eine Erweiterung für PHP.

Seit Debian Etch ist Suhosin auch als Paket erhältlich und muss also nicht selber kompiliert werden. Da jedoch Debian von Natur aus sehr konservativ gegenüber neuen Version ist, sollte man sich überlegen diese PHP-Pakete von einer externen Quelle zu beziehen.

Hier bietet sich dotdeb.org an. Was genau in die /etc/apt/sources.list eingetragen werden muss um in den Genuss der aktuellsten Pakete zu kommen steht auf der Webseite. Zu Beachten ist jedoch das diese Pakete wie gesagt von einer externen Quelle stammen und Debian entsprechend vor der Installation warnt.

apt-get install php5-suhosin

hiermit installieren wir suhosin. Da es kein gewöhnliches Plugin für Apache ist, muss es auch nicht erst aktiviert werden, sondern ist nach einem Neuladen der Konfiguration mit sofort aktiv:

apache2ctl graceful

Überprüfen wir das Ganze indem wir eine info.php erstellen und die folgenden Zeilen einfügen:

<?
phpinfo();
?>

wir finden dort einen Eintrag wie

This server is protected with the Suhosin Patch 0.9.6.2
Copyright (c) 2006 Hardened-PHP Project

im Error-Log von Apache finden wir nun immer die abgefangenen Anfragen, z.b.

[Thu Jun 28 21:41:50 2007] [error] [client 12.23.34.45] ALERT – configured GET variable value length limit exceeded – dropped variable ‘content’ (attacker ’12.23.34.45′, file ‘/var/www/example.com/www/htdocs/(…).php’), referer: http://example.com/(…).php

Hier noch die Links:

Suhosin
Debain Suhosin
dotdeb