Apache-mpm-itk & Veiligheid - Linux en overige clients

donderdag 23 februari 2012 13:46

Acties:

0 Henk 'm!

Topicstarter

Goeiemiddag!

Ik was net bezig met te verdiepen in apache-mpm-itk om mijn vps wat veiliger te maken. Nu heb ik hierover een vraag;

Deze module draait (schijnbaar) onder root rechten. Vervolgens heb je in apache virtual hosts configuratie de mogelijkheid om die specifieke virtualhost onder een bepaalde user te draaien zodat je b.v. cache / logs / uploads niet hoeft te chmodden naar 777.

Wat is mijn vraag?

Is het onder root draaien van dit geheel niet een enorm slecht idee?

Ik geloof dat er ook alternatieven zijn zoals mod fcgid die ieder php proces als cgi runt onder de gebruiker die je aangeeft alleen dit schijnt langzamer te zijn.

Nu ben ik dus enigzins in twijfel wat ik hieraan zal doen. De vps waar ik het over heb draait mijn portfolio en binnen kort nog een paar low-profile websites met ongeveer 80 -100 bezoekers per maand. Onder het motto 'moet wel veiliger zijn als de standaard www-data & root runs + chmod problemen' ben ik dus naar alternatieven gaan zoeken. Tot nu toe bevalt apache mpm-itk me het beste, maar is dit het waard om als root te runnen?

Alvast bedankt

donderdag 23 februari 2012 22:21

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Alles is een afweging. Met 80-100 bezoekers per maand zal performance voor jouw geen issue zijn.
Dingen naar 777 modden zou eigenlijk nooit nodig hoeven zijn als je een beetje handig met groepen om gaat.

This post is warranted for the full amount you paid me for it.

zaterdag 25 februari 2012 21:06

Acties:

0 Henk 'm!

CrankyGamerOG

Assumption is the mother.....

CAPSLOCK2000 schreef op donderdag 23 februari 2012 @ 22:21:
Alles is een afweging. Met 80-100 bezoekers per maand zal performance voor jouw geen issue zijn.

Eens.

Dingen naar 777 modden zou eigenlijk nooit nodig hoeven zijn als je een beetje handig met groepen om gaat.

Het zou nooit moeten mogen.

Ijstheefles schreef op donderdag 23 februari 2012 @ 13:46:
Is het onder root draaien van dit geheel niet een enorm slecht idee?

Alles wat je onder root draait kan een potentieel risico vormen.

Ik geloof dat er ook alternatieven zijn zoals mod fcgid die ieder php proces als cgi runt onder de gebruiker die je aangeeft alleen dit schijnt langzamer te zijn.

Er bestaan legio mogelijkheden, het is maar wat je zelf prefereert, zo heb je bijvoorbeeld ook nog SuPHP.

[ Voor 44% gewijzigd door CrankyGamerOG op 25-02-2012 21:09 ]

KPN - Vodafone Ziggo Partner

maandag 27 februari 2012 23:55

Acties:

0 Henk 'm!

_JGC_

Er is een reden waarom mpm-itk experimenteel is en nog altijd niet in de apache release is opgenomen. Jij bent niet de enige die zich zorgen maakt om het feit dat het hoofdproces als root draait, ook de apache ontwikkelaars moeten daar niks van hebben.

Persoonlijk draai ik liever met de worker of event MPM in combinatie met mod_fcgid of mod_fastcgi. Voordeel van die setup is dat PHP en CGI processen altijd onder een aparte gebruiker worden gedraaid en dat je PHP eindelijk loskoppelt van de webserver waardoor je een threaded MPM kunt gebruiken zonder problemen. Eerste keuze gaat bij mij uit naar mod_fcgid, maar als je PHP helemaal los draait met fpm, dan zit je aan mod_fastcgi vast.

dinsdag 28 februari 2012 00:00

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

CrankyGamerOG schreef op zaterdag 25 februari 2012 @ 21:06:
Het zou nooit moeten mogen.

Alles wat je onder root draait kan een potentieel risico vormen.

Jammer dat je deze dingen niet onderbouwt hebt, hierdoor heeft niemand wat aan jouw post, spijtig genoeg. Je zal er vast je redenen voor hebben. Zelf heb ik SuHoSin draaien, werkt ook wel fijn.

dinsdag 28 februari 2012 01:03

Acties:

0 Henk 'm!

_JGC_

CptChaos schreef op dinsdag 28 februari 2012 @ 00:00:
[...]
Jammer dat je deze dingen niet onderbouwt hebt, hierdoor heeft niemand wat aan jouw post, spijtig genoeg. Je zal er vast je redenen voor hebben. Zelf heb ik SuHoSin draaien, werkt ook wel fijn.

Suhosin is een hardening-patch of extension voor PHP, die heeft niks te maken met het feit dat apache deels onder root draait.

Een standaard Apache webserver zal als root opstarten, vervolgens de socket op poort 80 openen en daarna verder draaien als non-root. Met mpm-itk gebeurt dat laatste niet en worden connecties afgehandeld door een proces dat als root draait. Als in die code, apr of apr-util een security bug zit, heb je een remote root exploit te pakken. Verder is de ITK MPM een fork van de prefork MPM. Die MPM willen ze eigenlijk van af, want het presteert voor geen meter. Het is niet voor niks dat ze bij 2.4.x de standaard MPM op Event hebben overgezet.

dinsdag 28 februari 2012 14:38

Acties:

0 Henk 'm!

igmar

ISO20022

Maar even de feiten op een rij zetten :

- De module dropt alle capabilities, behalve degene die nodig zijn om setuid() uit te voeren. Kernel code laden en andere enge dingen kunnen in ieder geval niet meer mocht het mis gaan.
- Het process schakelt al snel over naar de andere user. Dat gebeurd wel nadat de connectie is gemaakt (logisch, anders is de vhost en dus user nog niet bekend). Het grootste risico is mod_ssl, dat eveneens in die fase van de connectie zit. Die code is relatief groot ten opzichte van de apache code.
- Een groot gedeelte van de veiligheid komt van het dichttimmeren van je system. Zet je compiler dicht, gebruik een random user en kernel stack, zorg dat binaries in non-root owned directies niet meer werken, mount tmp filesystemen met noexec en nosuid, etc.

In de praktijk valt het risico wel mee. mpm-itk zal denk ik nooit onderdeel worden van de standaard apache distro, daar zijn ze in het verleden (in de 1.3 versie) al heel duidelijk over geweest.