Защищаем PHP-приложения с помощью Suhosin

 СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Защищаем PHP-приложения с помощью Suhosin

Сегодня PHP – один из самых популярных языков, используемых при разработке веб-приложений. Простота в изучении и использовании привлекает к нему новичков.

Принято считать, что ошибки при программировании свойственны только новичкам, которые многого еще не умеют и не знают, но это не так. Программист с опытом способен избежать большинства проблем, но в то же время он также не застрахован от ошибок. Кроме того, многие сайты сегодня делаются под заказ специалистами-аутсорсерами и не всегда исполнитель может, умеет и хочет провести полноценный аудит собственного кода. Крупные проекты также содержат ошибки. Результат – сегодня только и слышно о PHP Include, SQL Injection, Cross site scripting (XSS) и других атаках, направленных на веб-сервисы. Несмотря на то что об этих технологиях и методах защиты рассказано многое, взломы все равно продолжаются.

Так, по статистике Web Application Security Consortium [1] количество взломов веб-серверов в 2005 году по сравнению с 2004 годом увеличилось в три раза. Это, конечно, не самая точная и полная статистика, зато в ней фигурируют только крупные проекты, защитой которых занимаются отнюдь не новички. Среди основных причин такой негативной тенденции называют широкую доступность инструментов, необходимых для проведения атаки, и недостаточное внимание со стороны разработчиков сайтов к вопросам безопасности.

Выходов из этой ситуации может быть несколько. Это и аудит кода, заказанный у сторонней организации, автоматическое тестирование с помощью специализированных сканеров безопасности, работающих на прикладном уровне, вроде Acunetix Web Vulnerability Scanner [2] и правильная настройка всех компонентов системы (веб-сервера, параметров PHP и базы данных). Ручная проверка больших объемов кода является сложной и трудоемкой задачей, требующей больших знаний в различных областях, займет много времени и 100% гарантии все равно не даст. Сканеры безопасности, как правило, позволяют выявить лишь общие ошибки. Вероятно, поэтому в последнее время активно развиваются проекты, позволяющие защититься от атак глобально, независимо от присутствия ошибок на сайте. Один из вариантов – защита сервиса с помощью файервола веб-приложений [3], разработчики Suhosin пошли несколько иным путем.

Проекты Hardening-Patch и Suhosin

Это два проекта от одного разработчика, имеющие сходную задачу, только реализованы по-разному. Задача – защита серверов и пользователей от целого ряда известных проблем в приложениях и ядре PHP. Кроме того, с помощью Hardening-Patch или Suhosin можно защититься от неизвестных уязвимостей. При этом Hardening-Patch реализован в виде патча к PHP и может быть использован только после полной пересборки PHP. В Suhosin входят две независимые части, которые могут использоваться как раздельно, так и в совместно.

Первая часть – небольшой патч к ядру, осуществляющий низкоуровневую защиту структур данных Zend LinkedList и HashMap против переполнения буфера и других уязвимостей ядра PHP. Это реализуется посредством хранения реальных указателей на используемые деструкторы, и каждый раз при его вызове происходит проверка списка. Патч защищает ядро и модули PHP от уязвимости форматной строки и от ошибок в реализации функции realpath, присущей некоторым платформам (приводя ее к принятой в FreeBSD).

Вторая часть реализована в виде расширения, которое фактически и осуществляет всю основную защиту, при необходимости его очень просто доустановить в уже рабочую систему, без полной пересборки PHP. Здесь возможности уже гораздо шире (полный список приведен на сайте проекта http://www.hardened-php.net/suhosin/a_feature_list.html):

• добавлены функции sha256(), sha256_file() и поддержка blowfish для всех платформ;
• кодирование Cookies и данных сессии;
• запрещение вставки URL, закачки файлов и доступа к произвольным файлам, верификация загруженных файлов через внешний скрипт, запрет загрузки исполняемых файлов, удаление двоичных данных из загружаемого файла;
• отключение функции eval(), запуск приложений с использованием eval() с применением белого и черного списков;
• принудительная установка максимальной глубины рекурсии;
• поддержка виртуальных узлов и каталогов, настраиваемых через черный и белый списки;
• защита от прерывания HTTP-заголовка (HTTP Response Splitting);
• защита глобальных переменных от extract и import_request_vars, а также от скриптов, манипулирующих memory_limit;
• защита от длинных и неправильных идентификаторов сессии;
• фильтрование ASCII-символов;
• игнорирование переменных GET, POST, COOKIE с целым рядом параметров;
• установка лимитов ряду переменных REQUEST.

В случае нарушения установленных правил возможна блокировка переменных, отсылка определенного HTTP-кода ответа, перенаправление браузера пользователя, выполнение другого PHP-скрипта. Все события заносятся в журналы, для чего может использоваться syslog, свой модуль или внешний скрипт. В журнале появится запись об IP-адресе атакующего, а также файл и номер строки, которые были использованы для атаки.

Версии Hardening-Patch и Suhosin-Patch привязаны к соответствующей версии PHP, последние версии расширения Suhosin совместимы практически со всеми версиями PHP. Судя по ответу в FAQ, размещенному на сайте, Suhosin сейчас продвигается на замену Hardening-Patch, поэтому его и рекомендуется использовать. Распространяются эти два проекта под PHP License, version 3.01.

Установка Suhosin

Установка Suhosin состоит из двух этапов: наложение патча на PHP с последующей его пересборкой и компиляция модуля расширения. Хотя возможна и сборка со встроенным расширением.

В репозитарии Ubuntu 6.06 на момент написания статьи была доступна версия php 5.12, для которой не имеется патча Suhosin. Поэтому будем устанавливать из исходных текстов. Скачиваем PHP, патч suhosin под используемую версию PHP и расширение. Все это распаковываем, накладываем патч и компилируем.

$ tar -xvjf php-5.1.6.tar.bz2

$ gunzip suhosin-patch-5.1.6-0.9.5.patch.gz

$ cd php-5.1.6

$ patch -p 1 -i ../suhosin-patch-5.1.6-0.9.5.patch

$ make

$ make test

$ sudo make install

Хотя, чтобы не было проблем с зависимостями, в Ubuntu перед конфигурированием рекомендуется дать команду:

$ sudo apt-get build-dep php5

и установить все недостающие пакеты (хотя большая их часть в конкретном случае явно лишняя). Минимальный набор для Ubuntu устанавливается так:

$ sudo apt-get install bison flex libxml2 libxml2-dev

После этих операций PHP должен работать корректно и без ошибок. Если планируется, скомпилировать расширение вместе с PHP, то распаковываем архив suhosin-0.9.5.tgz и копируем все файлы из каталога src в ext/suhosin.

Далее обычная сборка php, при конфигурировании не забываем включить опцию --enable-suhosin. Собираем модуль расширения:

По умолчанию скомпилированный модуль будет установлен в каталог, в котором он компилируется, что не очень удобно. Поэтому лучше использовать директиву --prefix=/usr/lib.

$ make

$ sudo make install

Настройка Suhosin

Все настройки Suhosin производятся в файле php.ini. Следует учесть, что патч поддерживает только опции регистрации. Первая запись, которая должна быть обязательно помещена в файл, – это подключение модуля suhosin.so (сам модуль должен быть виден переменной LD_RUN_PATH):

extension=suhosin.so

В таблице 1 приведены основные опции Suhosin. После установки Suhosin будет работать с настройками по умолчанию, которые показаны во втором столбце таблицы. Константы могут использоваться только совместно с Suhosin-патчем, иначе придется работать с их числовыми аналогами, для некоторых значений они приведены в скобках. Остальные вы найдете в документации проекта.

Таблица 1. Опции Suhosin

На сайте проекта приведен тест производительности, замеренный с помощью скрипта bench.php [6]. При этом использовался компьютер с процессором Pentium 4 с частотой 2,80 Ггц и оперативной памятью 512 Мб. Замеры показали, что система, использующая патч и модуль Suhosin на 8,84 % работает медленнее. На компьютере с процессором 2 Ггц получилась приблизительно такая же цифра. Большую часть ресурсов забирает патч, модуль несильно нагружает систему. Но bench.php использует рекурсивную функцию с большим количеством вызовов, что в рабочих скриптах практически не встречается. Поэтому в реальной системе присутствие Suhosin будет незаметно.

Suhosin является довольно интересным решением, позволяющим защитить веб-сервис, использующий PHP, от большинства известных и неизвестных угроз. В отличие от mod_security, где администратор должен постоянно отслеживать события и подправлять при необходимости правила. В Suhosin достаточно лишь оптимально установить параметры и в дальнейшем система не потребует вмешательства.

1. Web Hacking Statistics – http://www.webappsec.org/projects/whid/statistics.shtml.
2. Яремчук С. Определяем уязвимость веб-сервиса с помощью Acunetix Web Vulnerability Scanner. //Системный администратор, № 9, 2005 г. – C. 68-69.
3. Яремчук С. Как повысить безопасность веб-приложений. //Системный администратор, № 2, 2006 г. – C. 60-66.
4. Сайт проекта Hardening-Patch – http://www.hardened-php.net/hphp.
5. Сайт проекта Suhosin – http://www.hardened-php.net/suhosin.
6. Скрипт bench.php – http://cvs.php.net/viewvc.cgi/ZendEngine2/bench.php?content-type=text/plain&view=co.
7. Документация по настройке Hardening-Patch (опции в большинстве схожи с Suhosin) – http://www.hardened-php.net/hardening-patch-0.4.3-manual-alpha.pdf.

Комментарии могут оставлять только зарегистрированные пользователи