问题标签 [suhosin]

我目前正在开发一个最终将在商业上可用的 PHP CMF，我想使用特征。然而问题在于，trait 是 PHP 5.4 的一个特性，而且很明显流行的 Suhosin 安全补丁与 PHP 5.4 不兼容。

所以我的问题是：在没有 Suhosin 安全补丁的情况下运行 PHP 网站是否安全？如果不是，我会给自己和其他使用我的 CMF 的人留下哪些漏洞？

注意：我不关心共享主机。预计使用我的 CMF 的任何人都可以对其 Web 服务器进行管理控制。

我一直在尝试安装 AWS SDK 并在我的 EC2 实例上工作。我正在运行 Ubuntu 服务器，并尝试aws.phar在我的代码中要求该文件并通过 PEAR 安装。无论哪种方式，我都会收到以下错误：

要求 SDK 没有错误这一事实让我认为这是安装页面上所述的 suhosin 配置问题。问题是，我在服务器上的任何地方都没有 suhosin.ini 文件。

如果我运行php -v它表明我确实有 suhosin：

在没有 suhosin.ini 文件的情况下，我尝试添加：

并重新php.ini启动apache。没有骰子。我安装了 composer 但尚未配置它，因为我真的不想经历设置它的所有麻烦，只是为了遇到相同的（suhosin？）问题。

问题已解决。该类不在最新版本的 SDK 中:( smh ...

我正在尝试使用适用于 PHP 2 的 AWS 开发工具包在 S3 上创建文件。

通过 Phar 安装：

http://docs.aws.amazon.com/awssdkdocsphp2/latest/gettingstartedguide/sdk-php2-installing-the-sdk.html#sdk-php2-installing-via-phar

我将以下行添加到“/etc/php5/conf.d/suhosin.ini”：

我重新启动了 apache，并且 aws.phar 包含按预期工作。但是，在不进行任何更改的情况下，在进一步尝试时，服务器似乎没有发送响应，Chrome 显示“未收到数据”错误。

每次我重新启动 apache 它都会返回响应，但不会在后续加载时返回。

知道是什么原因造成的吗？

使用 Laravel、PHP 5.3.2 和 Ubuntu。

更新 无论有没有 suhosin.ini 编辑，似乎都会发生同样的事情。

即使服务器没有向 Web 浏览器返回响应，代码似乎也可以正常运行，因为它在 S3 上创建了一个文件。

I have a Website using Concrete5.

I need to allow the client to access the subpage domain\blocks.

The problem is that if the person with this permissions create a Block and put some code like:

He will get the source code the the website.

I am trying to use the suhosin extension to block some functions:

In php.ini

In httpd-xampp.conf

The problem is that this is not working. Since Concrete5 use a index.php to manage all the url connections.

Basicly when a call to url: www.domain.com/somepage/title; This is just an example, what actually is called is:

Then concrete5 translate that into the CMS and eventualy calls the block code.

Since the call is to the root of the domain, it has access to all php functions.

I just want to protect the rest of the website.

我计划从 Debian 6 (Squeeze) 升级到 7 (Wheezy)，它带来了 php 5.4 并省略了 Suhosin。

不管是对是错，Suhosin 给了我一种安全感，因为它让我知道（一些）黑客尝试。例如，我注意到我的网站有很多黑客试图发送很长的 _GET 变量，而 Suhosin 阻止了这些变量。我不知道这些长变量是如何被用来破解东西的——也许是 PHP 5.4 中不再存在的漏洞？

我一直在阅读诸如“哦，别担心，Suhosin 的大量优秀内容现已在 PHP 核心中采用”之类的概括性内容​​。

谁能总结或指出PHP 5.4 中包含或不需要Suhosin 的哪些特性？

是否可以将 suhosin 补丁的日志从 syslog 移动到专用文件？

cron 每 5 分钟调用一次 Cacti，并尝试将内存限制设置为 -1 因此，每次调用 Cacti 时，我在 syslog 中有 2 条消息。

ALERT - 脚本试图通过将其设置为不允许的负值 -1 字节来禁用 memory_limit（攻击者'REMOTE_ADDR 未设置'，文件'未知'）

谢谢您的帮助

我已经通过 aptitude 安装了带有标准 Apache 和 PHP 的 Debian Squeeze。

不，我尝试运行：

结果：128M 128M

我试图改变这种行为和一些事实：

我可以使用 phpinfo(); 验证此设置，在service apache2 restart.

为什么我不能将内存限制设置在 128M 以上？

笔记：

结果：128M 127M

亲切的问候

这不是一个问题……而是一个答案。

问题

浏览器正在返回： “ERR_EMPTY_RESPONSE”、“未收到数据”、“连接已重置”等...

Apache 错误日志正在返回： “分段错误”

在互联网上四处寻找答案之前，在一片混乱和对 Godaddy 的抨击中，通过将 phpinfo() 函数放置在您的一个 PHP 脚本中的某个位置来检查是否安装了Suhosin 扩展。

如果您发现 Suhosin Extension 已安装，您可以很容易地将其删除：

重启阿帕奇：

在这一点上，你应该很高兴。希望这至少对一个人有所帮助。我知道我花了很多时间来寻找这个。

干杯!

我们有一个运行 Ubuntu LEMP 安装 (nginx) 的 Amazon EC2 实例。我们想修改几个 suhosin 配置参数。我们尝试更改 /etc/php5/cgi/conf.d/suhosin.ini 文件中的参数，但它不会更改值。加载 phpinfo 函数后，我们仍然可以看到旧的默认值。我们还将参数添加到 /etc/php5/cgi/php.ini 文件（这是由 nginx Web 服务器解析的文件）中，但无济于事。

进行上述更改后，每次都重新启动 nginx，并且 php-fpm 也重新启动。但是，我们无法更改任何 suhosin 参数的默认值。

这里需要编辑哪个文件？

在 Ubuntu 12.04、Apache2、PHP5 服务器上，安装了 suhosin 扩展。（phpinfo页面）

这是通过自动更新提供最新安全更新的专用服务器。

我创建了以下测试脚本（未设置 suhosin conf的测试脚本）

错误日志显示：

其他 SO 帖子建议检查 session.cookie_secure 和 session.http_only 参数。两者都在此服务器上关闭。此外，我尝试实现关闭特定的 suhosin 设置，或者使用 suhosin.simulation=On 完全关闭 suhosin 我在 php.ini 中都试过了

此脚本返回失败。如果脚本使用 is=set 参数运行，则无法设置参数（测试脚本 2）

在另一台专用服务器上，测试脚本工作正常，即。https url 获取会话变量，但是此服务器是 Ubuntu 10.04。

知道下一步该怎么做吗？