Sigurimi i PHP - Sigurim dhe Kriptologji

Titulli: Sigurimi i PHP - Sigurim dhe Kriptologji Wed Sep 17, 2008 3:47 pm

Sigurimi i PHP - Sigurim dhe Kriptologji

Shkruar nga: Krenar KOMONI -

Hyrje ne PHP

Në shkrimin e kaluar Betim Deva dhe unë (Krenar Komoni) patem shkruar për PHP dhe MySQL. Ne atë shkrim ju mund te njfotoheni me shumë ne anën siperfaqesore për PHP edhe MySQL. PHP do të thotë: PHP Hypertext Preprocessor. Instalimi i PHP-se ka qenë njera nder supozimet qe është bërë ne shkrimin e kaluar.
Ne këtë shkrim unë do të mundohem te ju shpjegoj hape pas hapi se si ju mund ta instaloni PHP, edhe pas instalimit te saj se si ju mund ta konfiguroni edhe ta siguroni atë. Ne këtë shkrim unë do të supozoj qe Apache Web Server apo ndonjë Web Server tjetër është i instaluar ne sistemin e jauj.

Para një-dy-tri muaje ju keni mundur te gjeni shumë gabime qe janë bërë ne kodin e PHP. BugTraq nga SecurityFocus apo BugTraq te tjerë ne internet kanë pasur lajme dhe vërejtje te pa nderprera për këto gabime. Nëse ju, si administrator, nuk i patet marrë përmasat për sigurimin e PHP gjatë instalimit te saj, atëherë juve këto gabime kanë mundur te shkaktojne rezultate fatale për kompanine, organizaten, apo vete web faqen personale te juaj.

Instalimi i PHP

Para se te instaloni PHP, ju duhet qe te shkarkoni verzionin stabil nga PHP Web Faqja, apo njera nga pasqyret e saja.
Nëse e instaloni PHP për produktivitet, e jo për rekreacion atëherë ju lutem qe te shkarkoni verzionin STABIL [pra: stable version].
Unë do të ju shpjegoj se si PHP instalohet ne Linux. Për shkak se çdo distribucion nuk e ka te miren e portage [nëse jeni i interesuar me shumë për këtë, lexoni shkrimin nga Genc Kastrati për Gentoo Portage] te Gentoo, unë do të shkarkoj kodin e PHP edhe do e kompajlloi nga burimi i saj.

Pasi te keni shkarkuar PHP kodin (pra: php source file), untar skedarin me këtë komande.

tar xzvf php-4.3.7.tar.gz

Kur ky proces i shpejte mbaron, athere ju jeni gati qe ta konfiguroni PHP për kopjuterin e juaj, sipas programeve të ndryshme qe do ta përdorin PHP. Ne këtë rast unë do të ju tregoj se si ta konfiguroni PHP me Apache Web Server edhe MySQL databazen. Këto dy komponente te fundit supozohen qe janë te instaluara tani.

cd ../php-4.3.7
./configure --with-mysql=/usr/local/mysql --with-apache=../apache_1.3.27 --enable-safe-mode
make
su
make install

Siç e shihni me lartë opcioni safe-mode është i leshuar. Pra ne dëshirojmë qe ta instalojme PHP ne mënyrë qe te punon ne safe-mode. Kjo do t'i ekzekuton vetëm skedaret qe janë me leje nga administratori edhe perdoruesit qe kanë te drejta ne PHP.

Tani, hapi i ardhshëm është qe te kopjoni skedarin për konfigurimin e PHP. Por para se te bëni atë, ju duhet qe te krijoni folderin /usr/local/lib.
cd ../php-4.3.7
mkdir /usr/local/lib
chmod 755 /usr/local/lib
cp php.ini-recommended /usr/local/lib/php.ini
chown root:sys /usr/local/lib/php.ini
chmod 644 /usr/local/lib/php.ini

Këto komanda te siperme do të ju ndihmojne për sigurimin e skedarit konfigurativ (php.ini). Pra ju i jepni privilegje vetëm root për te shkruar edhe lexuar ne atë skedar. Ndërsa te tjerët kanë vetëm te drejtë te lexojnë skedarin.

Integrimi i Apache Web Server dhe PHP

Ne mënyrë qe ta bëni Apache Web Server te funksionoi me PHP, ju duhet qe te shtoni këto reshta ne skedarin konfigurativ httpd.conf te Apache.
AddType application/x-httpd-php .php

Nëse keni instaluar PHP 4:
LoadModule php4_module libexec/libphp4.so

Nëse keni instaluar PHP 5:
LoadModule php5_module libexec/libphp5.so

Sigurimi edhe konfigurimi i PHP

Për ta konfigurar PHP, ju duhet qe te ndryshoni disa direktiva ne skedarin php.ini, i cili tani gjindet ne folderin /usr/local/lib. Tani ne do t'i shikojme disa parametra qe luajnë rol te rëndësishëm ne sigurimin e PHP.
safe_mode = On

Safe_mode është mirë qe te jetë [On] sepse PHP skriptat do të mund te përdoren vetëm nga perdoruesit te cilët janë pronaret, apo te lejuarit për perdormin e PHP. Ky parameter shton shumë bariera për sulmuesit qe deshirojne te përdorin edhe te hynë ne PHP pa autorizim.
safe_mode_gid = Off

Pasi qe safe_mode është [On], ju duhet qe te ndryshoni safe_mode_gid ne [Off].
safe_mode_exec_dir = directory[:...]

Kjo direktive lejon qe PHP te i perdor komandat system(), exec(), etj vetëm ne folderat apo sub-folderat e specifikuara nga vete ju. Funksionet system() edhe exec() janë shumë te rrezikshme ne PHP.
Nëse ju keni diçka kështu ne PHP skripten e juaj (index.php):
exec($variabla);

Sulmuesi mundet qe te thirre këtë URL:
index.php?variabla="rm Ã¢â‚¬“rf *"

Kjo mund te shkaktoj deme ne serverin e juaj, sepse shumë skedar - mos te gjithë, mund te fshihen nga faqja e diskut.

expose_php = Off

Nëse kjo direktive është [Off] atëherë PHP nuk do të informoj askënd për vetveten. Pra sulmuesi do të këtë veshtiresi qe te dije se çfarë verzioni i PHP është ne server.

register_globals = Off

Ky parameter është shumë i lakmijshem nga sulmuesit. Nëse ky parameter është [On] atëherë sulmuesit mund te ndryshojnë shumë variabla nga URL, me shumë lehtesi. Pra atyre ju duhet qe vetëm te shtojne emrin e variables pas pikepyejtes [?].

display_errors = Off

Me këtë parameter ju mund t'i elminoni të gjitha gabimet qe paraqiten tek PHP skriptat kur ekzekutohen. Kjo nuk është mirë qe te te jetë [On] nëse ju i paraqitni faqet për publik. Sulmuesit mund te marrin informata te rëndësishme nga këto gabime edhe te i përdorin ato për interesat e tyre.

log_errors = On
error_log = emri_i_skedarit(filename)

Këto dy parametra duhet qe te jenë kështu sepse të gjitha gabimet ne skripta por edhe gabimet tjera do të ruhen ne skedar te caktuar nga ju. Ju mund te shikoni me vonë se mos dikush është duke u munnduar qe te theje e te hyjë ne sistemin e juaj.
Për direktiva dhe parametra tjera ju lutem lexoni se çfarë funksioni kanë ato një nga një para se t'i ndryshoni. Siguria është njera nder konceptet qe duhet te merret shumë parasysh kur ju instaloni apo konfiguroni gjëra te tilla, sikurse PHP.

Konkludimi

Instalimi i PHP mund te jetë shumë i lehtë, por konfigurimi i PHP nuk vjen me sigurimin qe ju dëshironi. Gjithmonë lexoni se çka bëjnë direktivat apo parametrat, edhe gjithmonë eliminoni gjërat qe jeni te sigurtë qe nuk do të i perdorni. Kjo do të ju shpetoj kokë dhembje por edhe do të i trulloj sulmuesit.

Tutoriale ne PHP :

Klasat dhe Objektet ne PHP4 - Programim dhe Koncepte - Betim DEVA
http://www.khg-crew.ws/forum/showthread.php?p=283942#post283942

Sigurimi i PHP - Sigurim dhe Kriptologji - Krenar KOMONI
http://www.khg-crew.ws/forum/showthread.php?t=41406

PHP dhe MySQL - Programim dhe Koncepte - Betim Deva dhe Krenar Komoni

Registration date : 01/01/1970

Shum interesant bro se bash pom intereson kriptologjia a.