suhosin в phpinfo

[nerezus]

Собственно:

Код: Выделить всё

ubuntu@ubuntu:~$ sudo apt-get remove php5-suhosin
Чтение списков пакетов... Готово
Построение дерева зависимостей
Чтение информации о состоянии... Готово
Пакет php5-suhosin не установлен, поэтому не может быть удалён
обновлено 0, установлено 0 новых пакетов, для удаления отмечено 0 пакетов, и 0 пакетов не обновлено.
ubuntu@ubuntu:~$

При этом в phpinfo:

Код: Выделить всё

This server is protected with the Suhosin Patch 0.9.6.2

Поиск по /etc слова suhosin внутри файлов дал только файл /etc/alternatives/php

Вопросы:
1) Какого это поделие встраивают по дефолту в пхп в убунте?
2) Как его отключить без перекомпиляций?

[Frank]

Задача проекта Suhosin (www.hardened-php.net/suhosin) - защита серверов и пользователей от целого ряда известных проблем в приложениях и ядре PHP, так как safe_mode помогает далеко не всегда. Сам Suhosin состоит из двух независимых частей, которые могут использоваться как раздельно, так и совместно. Первая часть – небольшой патч к ядру, осуществляющий низкоуровневую защиту структур данных от переполнения буфера, уязвимости форматной строки и ошибок в реализации функции realpath, присущей некоторым платформам, а также от других потенциальных уязвимостей ядра PHP. Вторая часть реализована в виде расширения, которое фактически и осуществляет всю основную защиту, при необходимости его очень просто доустановить в уже рабочую систему без полной пересборки PHP. С полным списком возможностей можно познакомиться на сайте проекта www.hardened-php.net/suhosin/a_feature_list.html.

В случае нарушения установленных правил возможна блокировка переменных, отсылка определенного HTTP-кода ответа, перенаправление браузера пользователя, выполнение другого PHP-скрипта. Все события заносятся в журналы, для чего может использоваться syslog, свой модуль или внешний скрипт. Последние версии расширения Suhosin совместимы практически со всеми версиями PHP.

Установка Suhosin включает в себя 2 этапа: наложение патча на PHP с последующей его пересборкой и компиляция модуля расширения.

У меня возникает вопрос - зачем вам понадобилось его отключать, если на нормальный код этот патч никак не влияет?

По вашим вопросам:
1) потому что это повышает безопасность
2) пересборкой, он вкомпилен при сборке

[nerezus]

если на нормальный код этот патч никак не влияет?

Влияет.
Я не знаю как он настроен в убунте, но с ним проблемы с:
1) Битые файлы при загрузке.
2) Он вырывает куски запросов, т.к. по его мнению запросы слишком большие.
3) Иногда скрипт просто перестает работать. Причину выяснять не хотелось, админы сносили сабж.
Естественно при правильной настройке этого не будет. Но зачем его настраивать, чтобы свести его махинации на нет, когда можно просто его не юзать?

потому что это повышает безопасность

Если бы он это делал прозрачно и скрипт работал бы - то пусть повышает. Но вот он мешает работе скриптов. Это плохо.

Я разработчик. И когда отлаживая скрипт сутки узнаешь, что виноват не ты, а куча времени потрачена впустую из-за криворукого админа, который неправильно настроил опции сабжа... То о таком админе думаю только матом.

[Frank]

"Это жжж неспроста!"

Все события заносятся в журналы, для чего может использоваться syslog, свой модуль или внешний скрипт.

Смотрите в логи и познавайте, в чём ущербность используемых на вашем сервере скриптов.
У меня почему-то на апаче работают одновременно вордпресс-блог, форум с разрешённым аплоадом, торрент-трекер, веб-морда почтового серера и т.д. - и никаких проблем с патчем.
Можете конечно забить и собрать апач/пхп без патча, из сырцов.

Да, и ещё:

Some people fear that the protections implemented by Suhosin are too restrictive for their applications and that after installing it, their applications stop working. Therefore Suhosin comes with a special configuration option: suhosin.simulation. When this is enabled Suhosin will continue logging violated rules but the actual blocking will not be performed.

Добавьте в php.ini опцию suhosin.simulation 1 и будет вам "счасьте". Не забывайте посматривать в лог на предмет срабатываний, возможно, так вы узнаете о проблемах раньше, чем столкнётесь с ними в продакшене.

[webcrassula]

Смотрите в логи и познавайте, в чём ущербность используемых на вашем сервере скриптов.
У меня почему-то на апаче работают одновременно вордпресс-блог, форум с разрешённым аплоадом, торрент-трекер, веб-морда почтового серера и т.д. - и никаких проблем с патчем.

Тогда может быть просветите и насчёт ущрбности DLE 9.2 ( это CMS такая ). Почему-то Suhosin ну никак не даёт включить опцию ЧПУ. При включении перестаёт работать ряд ссылок, в частности добавление новости, вход в профиль, и многое другое.

[blackdevil]

попробуйте:

Код: Выделить всё

sudo apt-get purge php5-suhosin

[sciko]

Тогда может быть просветите и насчёт ущрбности DLE 9.2 ( это CMS такая ).

Не знаю на счёт на 9.2, но 7.x (не помню точно), определяла по юзерагенту ось и для линуксов конвертировала через iconv в koi8-r (хотя её никто не просил), забывая при этом поменять в заголовках кодировку. После этого я понял, что писали её то ли индусы, то ли китайцы.
Поэтому выкиньте это глючное поделие нафиг.

Почему-то Suhosin ну никак не даёт включить опцию ЧПУ.

Видимо защита этого проприетарного поделия работает через какую-то дыру, которую Suhosin закрывает.