Zvýšení zabezpečení serverů
Z důvodů, že jsme v poslední době zaznamenali spamování z různých webů, rozhodli jsme se pro následující změny v nastavení serverů.
Dojde k zablokování funkce eval() v PHP, která umožňuje jakýkoliv vstup reprezentovat jako PHP kód což bylo v poslední době příčínou spoustu code-injection útoků převážně na starší verzi systému WordPress, na kterém je i provozován tento blog (v aktuální verzi). Tato funkce je vnímána odborníky jako riziková.
Dojde k vypnutí zobrazování chyb – to nadále bude možné zapnout skrze soubor .htacccess nebo jednoduše přes funkci error_reporting().
Před změnou bychom rádi ználi Váš názor na danou situaci. Přesný termín nasazení těchto úprav bude upřesněn na základě reakcí uživatelů, tak aby byl prostor na úpravu skriptů uživatelů, kterých se tato změna týká.
Tags: bezpečnost, error_reporting, eval, spamování, wordpress, zvýšení bezpečnosti
8. Únor 2010 at 15:46
Já souhlasím, i když se mě to zřejmě netýká, ale člověk alespoň vidí, že pro zabezpečení děláte maximum.
8. Únor 2010 at 23:22
Měl jsem za to, že se mají řešit příčiny problémů, nikoli jejich důsledky. Příčinou jsou špatně napsané aplikace, za ty by měli trpět ti, kterých se to týká, ne ti, kteří za to nemohou. Navíc ti kteří budou eval z nějakého důvodu potřebovat jednoduše uloží obsah parametr pro eval na disk a následně includují, kupodivu to udělá to samé co eval. To se zakáže i include/require?
8. Únor 2010 at 23:40
Ano, určitě se má řešit příčina. Bohužel díky špatným aplikacím právě dochazí k zbytečným narušením provozu serverů. Samozřejmě je tu možnost include, a tu určitě nechceme zakázat, bohužel nyní dochází k tomu, že se využivá eval($_GET..) a útočník tak vkládá dynamicky obsah skriptu. Případ podobný třeba eval(‘echo hello’) jsme nezaznamenali. Možnost povolení eval() zde stále bude pro konkretní klienty, kteří budou mít zájem a budou vědět k čemu funkce slouží – tedy ji budou umět použít.
19. Únor 2010 at 19:25
len a len spokojnosť
1. Březen 2010 at 20:14
čo tak zapracovať na e-mailoch? doceľa často to nejde
1. Březen 2010 at 22:41
Dobrý den,
omlouváme se za komplikace s mail serverem. Další informace naleznete zde – http://blog.gigaserver.cz/2010/03/01/neplanovana-odstavka-mail-serveru/
18. Květen 2010 at 14:32
Dobry den,
neprojevi se zmeny nastaveni serveru ve funknosti WordPress (Version 2.9.2)? Nebo v jeho pluginech?
19. Květen 2010 at 07:52
Dobrý den,
problémy by to němělo udělat. Maximálně v některém z pluginů, kde by eval() mohly využívat. Ale je to málo pravděpodobné.
Pavel Ondřej
21. Květen 2010 at 17:46
nevím jak ostatní frameworky, ale nette framework si s novým zabezpečením neporadí.
Já mám dvě možnosti: buď přepsat stránky, aby fungovaly i bez nette, anebo přesun na jiný hosting. No ani jedna varianta se mi nezamlouvá, ale přepisovat to nebudu.
24. Květen 2010 at 07:32
Dobry den, staci zakomentovat v bootstrap.php debug. Viz http://kb.gigaserver.cz/entry/53/
24. Květen 2010 at 17:13
Zakomentovat Debug:enable() neberu jako uspokojivou odpověď. Pokud se bojíte bezpečnosti, pak věřte, že Nette patří k tomu nejbezpečnějšímu, co u Vás může běžet. Spokojení uživatelé/programátoři jistě potvrdí:
http://nettephp.com/cs/kdo-pouziva-nette-framework
24. Květen 2010 at 20:14
Dobry den,
netvrdime, ze Nette je nebezpecny. Bohuzel jine aplikace ano. Debug lze meho delat i bez pomoci nette fr. V dane dobe, ale nemuzeme umoznit klientum svevolne menit memory limit, safe mode atp. Jak jiste chapete, pripad kdy si memory limit nastavi nekdo na 1GB ma pro stablitu serveru neblahe dusledky.
6. Červen 2010 at 20:52
Dobrý den,
dívám se dobře, že magic quotes jsou ON a vypnutí je zakázané?
chápu snahu o bezpečnost, ale zakázat „php_flag magic_quotes_gpc off“ je podle mě docela extrém … to že je to defaultně ON dejme tomu, ale netuším proč zakázat vypnutí … nadto „There is no reason to use magic quotes“ dle manuálu, escapování musí být z principu specifické dle kontextu, takže je to celkově nesmysl (viz i http://phpfashion.com/escapovani-definitivni-prirucka)
7. Červen 2010 at 09:18
Dobry den,
nebyl to zrovna ucel zakazat tuto moznost, ale bohuzel je nutne zakazat php_flag uplne aby se zabranilo jinym direktivam – jako memory limit atp. Bohuzel PHP nenabizi moznost specifikovat co jde a nejde nastavit timto zpusobem – navic je tam duvod i mimo PHP a to primo v nastaveni options…
1. Září 2010 at 14:27
Jsem rád za tento postup. Web mi stále napadají viry kvůli aplikacím třetích stran a Opera tak stránky blokuje. Snad to problém vyřeší.
1. Září 2010 at 15:49
servus,
„Dale dojde k zablokovani pouziti Options v souboru .htaccess – “
sory tomuto nerozumiem, na wordpress vyuzivam rewrite_mod na permalinky, ovplyvnia to tieto zmeny?
2. Září 2010 at 07:52
Dobrý den, pokud máte problémy s viry, zkuste rozhodně i změnit heslo na FTP a hlavně ho neukládat přímo v FTP klientovi.
2. Září 2010 at 07:52
Dobrý den,
vše by mělo být v pořádku.
4. Září 2010 at 09:30
Moc se zakázáním php_flags nesouhlasím, ale pokud je to pro vás nejlepsí řešení, abyste zajistili bezpečnost klientům i sobě, tak to nějak strpím, protože další nastavení můžete pořád udělat individuálně sami.
5. Září 2010 at 19:08
Dobrý den,
bohužel je to nutnost z důvodu zachování stability (nastavení safe mode či memory limitu). Nicméně budeme se snažit klientům vždy vyhovět.