Page 1 sur 1
De la nécessité de suhosin
Posté : 25 juil. 2008, 01:51
par Sékiltoyai
Bonjour,
Deuxième dilemne au sujet de la configuration de mon hébergement (j'espère qu'il aura plus de succès
). A savoir, sur un mutualisé, est-il nécessaire d'installer suhosin ? Le patch et/ou l'extension ?
Et à quel niveau agit la protection, qu'est ce que cela implique si elle n'est pas installée ?
J'aimerais vos retours sur ce sujet.
Merci
Posté : 29 juil. 2008, 17:25
par gbx
Je doute que tu puisses l'installer toi même sur du mutualisé, à moins que tu ais un accès shell et la possibilité de moduifier le php.ini.
Donc dans ton cas, c'est à ton hébergeur de prendre en charge la sécurité côté serveur.
Je répond peut-être à côté de la plaque, vu que ta question semble un peu "naïve" pour un renard du php comme toi
Posté : 29 juil. 2008, 17:45
par Sékiltoyai
J'ai pas été clair, c'est la suite d'un sujet précédent, c'est moi l'hébergeur :-/
Posté : 29 juil. 2008, 17:50
par gbx
ok c'est bien ce que je pensais, question mal posée, mais question mal interprétée :p
Dans ce cas oui, il est préférable d'installer un php dit "hardened" sachant que moultes scripts plus ou moins fiables vont tourner sur ta machine. Suhosin + safemod = dodo sur tes deux oreilles
Après si tu l'installes pas c'est pas la fin du monde (contrairement au safemod qui lui est critique), mais quand on joue avec la sécurité mieux vaut être paranoïaque que laxiste
Posté : 29 juil. 2008, 19:06
par Sékiltoyai
Merci de ton apport.
Ca va me faire chier de compiler php mais c'est peut être mieux en effet
Sinon, tu me conseilles le patch, l'extension, ou bien les deux ?
Enfin, tu parles du safemode, justement je demandais sur
un autre sujet quelle était la meilleure solution pour isoler chaque site, pour toi c'est le safemode ?
Posté : 29 juil. 2008, 21:16
par gbx
pour isoler chaque site je définis un open_basedir différent pour chaque virtual host (open_basedir n'étant pas affecté par le safemode).
sinon jte conseille l'extension plutôt que le patch car plus complet et plus à jour.
Posté : 29 juil. 2008, 22:09
par Calimero
Ca va me faire chier de compiler php mais c'est peut être mieux en effet
Ca peut t'intéresser de savoir que chez ubuntu, le php distribué est compilé directement avec suhosin
Posté : 29 juil. 2008, 22:25
par Sékiltoyai
Ca peut t'intéresser de savoir que chez ubuntu, le php distribué est compilé directement avec suhosin
Pas sous ma version, le phpinfo ne donne aucune indication que suhosin est installé… Je suis sous Ubuntu Server 7.10…
Posté : 29 juil. 2008, 23:08
par Calimero
C'est curieux, je ne rêve pas pourtant
:
Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5.3 with Suhosin-Patch Server at localhost Port 80
Je suis en gutsy, et à jour. Si ça peut t'aider voici mon sources.list :
Code : Tout sélectionner
#########################################
### Depot Ubuntu
#section: Ubuntu Gutsy 7.10
deb http://fr.archive.ubuntu.com/ubuntu/ gutsy main
deb http://fr.archive.ubuntu.com/ubuntu/ gutsy restricted
deb http://fr.archive.ubuntu.com/ubuntu/ gutsy universe
deb http://fr.archive.ubuntu.com/ubuntu/ gutsy multiverse
#section: Ubuntu Gutsy Updates
deb http://fr.archive.ubuntu.com/ubuntu/ gutsy-updates main
deb http://fr.archive.ubuntu.com/ubuntu/ gutsy-updates restricted
deb http://fr.archive.ubuntu.com/ubuntu/ gutsy-updates universe
deb http://fr.archive.ubuntu.com/ubuntu/ gutsy-updates multiverse
#section: Ubuntu Gutsy Security
deb http://fr.archive.ubuntu.com/ubuntu/ gutsy-security main
deb http://fr.archive.ubuntu.com/ubuntu/ gutsy-security restricted
deb http://fr.archive.ubuntu.com/ubuntu/ gutsy-security universe
deb http://fr.archive.ubuntu.com/ubuntu/ gutsy-security multiverse
#section: Ubuntu Gutsy Backports
deb http://fr.archive.ubuntu.com/ubuntu/ gutsy-backports main
deb http://fr.archive.ubuntu.com/ubuntu/ gutsy-backports restricted
deb http://fr.archive.ubuntu.com/ubuntu/ gutsy-backports universe
deb http://fr.archive.ubuntu.com/ubuntu/ gutsy-backports multiverse
#########################################
### Depot Canonical
#section: Ubuntu Gutsy 7.10
deb http://archive.canonical.com/ gutsy partner
#########################################
### Depot Medibuntu
## KEY GPG: wget -q http://packages.medibuntu.org/medibuntu-key.gpg -O- | sudo apt-key add -
#section: Medibuntu packages for Ubuntu Gutsy 7.10
deb http://fr.packages.medibuntu.org/ gutsy free
deb http://fr.packages.medibuntu.org/ gutsy non-free
#########################################
### Depot winehq
## KEY GPG: wget -q http://wine.budgetdedicated.com/apt/387EE263.gpg -O- | sudo apt-key add -
#section: Ubuntu Gutsy 7.10
deb http://wine.budgetdedicated.com/apt/ gutsy main
Posté : 29 juil. 2008, 23:14
par Sékiltoyai
C'est bon, en mettant à jour, j'en ai profité pour rajouter les bonnes extensions…
Code : Tout sélectionner
nouveaustang% php -v
PHP 5.2.3-1ubuntu6.4 (cli) (built: Jul 23 2008 06:20:35)
Copyright (c) 1997-2007 The PHP Group
Zend Engine v2.2.0, Copyright (c) 1998-2007 Zend Technologies
with Suhosin v0.9.20, Copyright (c) 2002-2006, by Hardened-PHP Project