PHP – Kurzanleitung

Veröffentlichung 10. Juli 2018 @ 18:03
Letzte Änderung 20. September 2018 @ 17:10

Übersicht

  • Konfigurationen für mod_php und FPM
  • Absicherung mit Scanner for PHP.ini Iniscan und PHP Secure Configuration Checker
  • Anlage einer Default-Pool-Konfigurationsdatei statt Anpassung der php.ini für FPM für mehr Flexibilität

Voraussetzungen

Software

  • Apache 2.4.18 #apache2 -v
  • Composer 1.0.0-beta2 #composer –version
  • Git 2.7.4 #git –version
  • PHP 7.0.30 #php –version
  • Ubuntu Server 16.04.04 LTS #lsb_release -a

Ordner und Dateien

  • Installation /usr/share/iniscan, /usr/share/pcc
  • Konfiguration /etc/php/7.0/apache2/php.ini, /etc/php/7.0/cli/php.ini, /etc/php/7.0/fpm/php.ini, /etc/php/7.0/fpm/pool.d/default.conf (/etc/php/7.0/fpm/pool.d/default.conf.disabled)
  • Log /var/log/php7.0-fpm.log
  • Systemd /lib/systemd/system/php7.0-fpm.service

PHP und Module FPM und MySQL installieren

apt install php7.0 php7.0-fpm php7.0-mysql
#systemctl status php7.0-fpm.service

Zeitzone festlegen

Apache

...
date.timezone = "Europe/Berlin"

Kommandozeile

...
date.timezone = "Europe/Berlin"

FPM

...
date.timezone = "Europe/Berlin"

Default-FPM-Pool-Konfigurationsdatei in Anlehnung an www.conf anlegen

[default]
group = www-data
listen = /run/php/php7.0-fpm-default.sock
listen.group = www-data
listen.owner = www-data
pm = dynamic
pm.max_children = 5
pm.max_spare_servers = 3
pm.min_spare_servers = 1
pm.start_servers = 2
user = www-data

PHP mit Scanner for PHP.ini Iniscan absichern

Composer installieren

apt install composer

Scanner for PHP.ini Iniscan in Verzeichnis /usr/share/iniscan herunterladen / aktualisieren

mkdir /usr/share/iniscan
cd /usr/share/iniscan && composer require psecio/iniscan
#cd /usr/share/iniscan && composer update psecio/iniscan #Update

php.ini-Datei für mod_php prüfen und anpassen

/usr/share/iniscan/vendor/bin/iniscan scan --path=/etc/php/7.0/apache2/php.ini
  ...
...
;;;Scanner for PHP.ini Iniscan
;Zugriff auf Remote-Dateien unterbinden, bei Bedarf in Apache-Website-Konfiguration freischalten
allow_url_fopen = 0
;sicherheitskritische PHP-Funktionen durch Erweiterung der ursprünglichen Liste ${disable_functions} deaktivieren, bei mod_php nur in php.ini möglich
disable_functions = ${disable_functions}curl_exec,curl_multi_exec,exec,passthru,popen,proc_open,shell_exec,system,
;PHP-Zugriff auf bestimmte(s) Verzeichniss(e) beschränken, durch "nonexistent" Fehlermeldung provozieren, in Apache-Website-Konfiguration definieren  
open_basedir = nonexistent
;wie in Voreinstellung Server-Hostname als Cookie-Domain verwenden, bei Bedarf in PHP oder Apache-Website-Konfiguration ändern
;session.cookie_domain =
;Session-Cookies ausschließlich über HTTP-Protokoll zugänglich machen 
session.cookie_httponly = 1
;Session-Cookies ausschließlich über sichere Verbindungen senden
session.cookie_secure = 1
;wie in Voreinstellung keinen Prüfsummen-Algorithmus zur Erzeugung der Session-ID festlegen, da ab PHP 7.1.0 nicht mehr verfügbar
;session.hash_function =
;wie in Voreinstellung "PHPSESSID" für Session-Cookie-Name "session.name" verwenden, bei Bedarf in PHP oder Apache-Website-Konfiguration ändern
;session.name = PHPSESSID
;ausschließlich Session-IDs akzeptieren, die initialisiert sind 
session.use_strict_mode = 1

php.ini-Datei für FPM prüfen und Default-FPM-Pool-Konfigurationdatei anpassen

/usr/share/iniscan/vendor/bin/iniscan scan --path=/etc/php/7.0/fpm/php.ini
  ...
...
;;;Scanner for PHP.ini Iniscan
;Zugriff auf Remote-Dateien unterbinden, bei Bedarf in separater FPM-Pool-Konfiguration freischalten
php_admin_value[allow_url_fopen] = 0
;sicherheitskritische PHP-Funktionen durch Erweiterung der ursprünglichen Liste disable_functions deaktivieren
php_admin_value[disable_functions] = curl_exec,curl_multi_exec,exec,passthru,popen,proc_open,shell_exec,system,
;PHP-Zugriff auf bestimmte(s) Verzeichniss(e) beschränken, durch "nonexistent" Fehlermeldung provozieren, in separater FPM-Pool-Konfiguration definieren
php_admin_value[open_basedir] = nonexistent
;wie in Voreinstellung Server-Hostname als Cookie-Domain verwenden, bei Bedarf in PHP oder separater FPM-Pool-Konfiguration ändern
;php_value[session.cookie_domain] =
;Session-Cookies ausschließlich über HTTP-Protokoll zugänglich machen 
php_admin_value[session.cookie_httponly] = 1
;Session-Cookies ausschließlich über sichere Verbindungen senden
php_admin_value[session.cookie_secure] = 1
;wie in Voreinstellung keinen Prüfsummen-Algorithmus zur Erzeugung der Session-ID festlegen, da ab PHP 7.1.0 nicht mehr verfügbar
;php_admin_value[session.hash_function] =
;wie in Voreinstellung "PHPSESSID" für Session-Cookie-Name verwenden, bei Bedarf in PHP oder separater FPM-Pool-Konfiguration ändern
;php_value[session.name] = PHPSESSID
;ausschließlich Session-IDs akzeptieren, die initialisiert sind
php_admin_value[session.use_strict_mode] = 1

PHP zusätzlich mit PHP Secure Configuration Checker absichern

Git installieren

apt install git

PHP Secure Configuration Checker in Verzeichnis /usr/share/pcc herunterladen / aktualisieren

git clone https://github.com/sektioneins/pcc.git /usr/share/pcc
#git -C /usr/share/pcc pull origin master #Update

php.ini-Datei für mod_php prüfen und anpassen

php -c /etc/php/7.0/apache2/php.ini /usr/share/pcc/phpconfigcheck.php
  ...
...
;;;PHP Secure Configuration Checker
;assert()-Auswertung deaktivieren
assert.active = 0
;sicherheitskritische PHP-Klassen durch Erweiterung der ursprünglichen Liste ${disable_classes} deaktivieren, todo
disable_classes = ${disable_classes}
;Datei-Uploads unterbinden, bei Bedarf in Apache-Website-Konfiguration freischalten
file_uploads = 0
;E-Mail-Header 'X-PHP-Originating-Script' unterdrücken
mail.add_x_header = 0
;wie in Voreinstellung maximale Laufzeit für PHP-Skript auf 30 s festlegen, Fehlalarm wegen "This directive is hardcoded to 0 for the CLI SAPI" in php.ini
max_execution_time = 30
;Upload-Verzeichnis festlegen, durch "nonexistent" Fehlermeldung provozieren, bei Bedarf in Apache-Website-Konfiguration definieren   
upload_tmp_dir = nonexistent

php.ini-Datei für FPM prüfen und Default-FPM-Pool-Konfigurationdatei anpassen

php -c /etc/php/7.0/fpm/php.ini /usr/share/pcc/phpconfigcheck.php
  ...
...
;;;PHP Secure Configuration Checker
;assert()-Auswertung deaktivieren
php_admin_value[assert.active] = 0
;sicherheitskritische PHP-Klassen durch Erweiterung der ursprünglichen Liste disable_classes deaktivieren, todo
php_admin_value[disable_classes] =
;Datei-Uploads unterbinden, bei Bedarf in separater FPM-Pool-Konfiguration freischalten
php_admin_value[file_uploads] = 0
;E-Mail-Header 'X-PHP-Originating-Script' unterdrücken
php_admin_value[mail.add_x_header] = 0
;wie in Voreinstellung maximale Laufzeit für PHP-Skript auf 30 s festlegen, Fehlalarm wegen "This directive is hardcoded to 0 for the CLI SAPI" in php.ini
php_admin_value[max_execution_time] = 30 
;Upload-Verzeichnis festlegen, durch "nonexistent" Fehlermeldung provozieren, bei Bedarf in separater FPM-Pool-Konfiguration definieren   
php_admin_value[upload_tmp_dir] = nonexistent

PHP-FPM und Apache neustarten

PHP-FPM-Konfiguration testen, PHP-FPM neustarten und Status abfragen

php-fpm7.0 --test
systemctl reload php7.0-fpm
systemctl status php7.0-fpm.service

Apache neustarten und Status abfragen

systemctl reload apache2
systemctl status apache2.service

[Optional] Default-FPM-Pool-Konfigurationdatei deaktivieren und PHP-FPM neustarten

mv /etc/php/7.0/fpm/pool.d/default.conf /etc/php/7.0/fpm/pool.d/default.conf.disabled
systemctl reload php7.0-fpm

Quellen

https://getcomposer.org/
https://git-scm.com/docs
https://github.com/psecio/iniscan
https://github.com/sektioneins/pcc
http://manpages.ubuntu.com/manpages/xenial/man8/php-fpm7.0.8.html
https://secure.php.net/manual/de/ini.php
https://secure.php.net/manual/de/install.fpm.php

Schreibe einen Kommentar