Implementazione di PHP temprata su Ubuntu

Mi è stato chiesto di creare un ambiente PHP su un server web che amministro che attualmente sta eseguendo solo applicazioni Python. Gli autori di queste applicazioni non necessariamente hanno un background di programmazione, quindi vorrei limitare ciò che possono fare male.

Sto utilizzando Ubuntu 9.04, e so che devo distriggersre register_globals , ma che altro posso / devo limitare?

  • Prevenire la corruzione dei dati sull'unità ext4 / Linux sulla perdita di potenza
  • Modificare il shorcut per l'interruttore della console
  • PHP su Linux: come fare PHP utilizzare impostazioni proxy per connettersi a Internet?
  • Bloccare IP su EC2. Firewall o altre opzioni?
  • fork mongod vs nohup
  • MediaWiki lento salvataggio delle pagine modificate
  • SSH - Come includere il command "-t" nel file ~ / .ssh / config
  • Migliorare le performance TCP su una networking gigabit con un sacco di connessioni e un elevato traffico di piccoli pacchetti
  • Accesso di networking locale del server OpenVPN e accesso alla networking VPN
  • Aumentare nproc per i processi lanciati da systemd su CentOS 7
  • Linux su VMware - perché utilizzare il partizionamento?
  • OpenSSH SFTP con Chroot, come modificare la password
  • 2 Solutions collect form web for “Implementazione di PHP temprata su Ubuntu”

    Ecco un elenco di cose che stavo per digitare. Ci sono altre cose che puoi fare, come Suhosin , ma il primo collegamento è un buon inizio per questo.

    Poichè non potete veramente fidarvi degli sviluppatori di app per scrivere codice protetto, dovrai limitare i vettori di attacco che potrebbero fornire un codice non protetto di php. L'utilizzo dell'ingresso dell'utente senza la corretta sanificazione come SQL o argomento da aprire () sono esempi classici di cose che vanno male.

    Il mio breve elenco:

    • mettere l'ambiente php all'interno di un carcere chroot, per limitare i rischi per l'host.
    • accertati che le applicazioni php non accedano agli stessi database che vengono utilizzati altrimenti.
    • limitare il tasso (e monitorare) la posta in output. Se esiste un modo per submit e-mail con contenuti e indirizzi specificati dall'utente, alcuni spammer lo troveranno prima e dopo e lo sfrutteranno.

    Sono sicuro che ci sono molte altre cose che io non conosco o non riesco più a ricordare.

    Ci sono anche molte cose che voi come un amministratore non può prepararsi. Ad esempio, è molto difficile controllare i rischi di scripting cross-site e assicurarsi che la meccanica all'interno delle applicazioni non incoraggini casi di utilizzo dannoso, ad esempio l'utilizzo di un'applicazione come casella di spunta per roba difettosa come i rootkit.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.