Turvallisuusparannuksia Nettihotellin PHP-tuessa

18.5.2011

Aiemmin ilmoittamamme (sähköpostiviestissämme Plesk 10 -palvelinpäivityksiin liittyen huhtikuun lopussa) mukaisesti olemme tehneet palvelimillemme PHP-kielen turvallisuusparannuksia. Muutokset on nyt tehty tänään keskiviikkona 18.5.2011, jolloin korvasimme kaikilla palvelimillamme Apachen Prefork MPM-moduulin ITK MPM-moduulilla.

Parannuksen myötä palvelinten PHP:n turvallisuus lisääntyy merkittävästi, mutta myös kiusallinen www-data:n omistamiin tiedostoihin ja hakemistoihin liittyvä ongelma poistuu, sillä jatkossa PHP ajetaan aina asiakkaan omalla käyttäjätunnuksella (FTP-tunnus) eikä jaetulla www-data -nimisellä käyttäjätunnuksella, jolloin www-data:n omistamia tiedostoja/hakemistoja ei synny. Muutos helpottaa myös ylläpidon osalta ongelmallisten PHP-prosessien löytämistä.

Päivityksen yhteydessä olemme myös vaihtaneet kaikki www-data -omisteiset hakemistot ja tiedostot asiakkaan oman FTP-tunnuksen omistamiksi, jolloin sovellukset pystyvät kirjoittamaan normaalisti tiedostoihin, kuten ennenkin.

Lisäksi kaikki 0777-oikeudella olleet tiedostot ja hakemistot on asetettu matalemmalle 0755-oikeudelle turvallisuuden lisäämiseksi. Kehotammekin asiakkaitamme muistamaan, ettei jatkossa 0777 oikeutta tule asettaa yhdellekään tiedostolle tai hakemistolle! Tämä ei ole nyt tehtyjen muutoksen jälkeen enää tarpeen, sillä PHP voi nyt kirjoittaa suoraan asiakkaan hakemistoihin ja tiedostoihin samalla FTP-käyttäjätunnuksella.

Tehtyjen muutosten ei pitäisi vaikuttaa asiakkaidemme sivujen toimintaan, mutta kehotamme kuitenkin käymään läpi sivujenne toimivuuden kokonaisuudessaan ja tarkistamaan myös kotihakemistonne tiedosto-oikeudet. Mikäli Teillä on erillinen tekninen yhteyshenkilö, joka vastaa kotisivujenne suunnittelusta, pyytäkää esimerkiksi häntä tekemään mainitut tarkistukset ja mahdollisesti tarvittavat muutokset tiedosto-oikeuksiin seuraavasti:

Muutokset PHP:n ja tiedostonkäsittelyn toiminnassa

  • Mikäli olette jossakin vaiheessa pyytäneet PHP:ta ajettavaksi FastCGI:nä, tulee PHP asettaa ajettavaksi takaisin Apachen moduulina, sillä nykyasetuksilla FastCGI ei oletusarvoisesti toimi ja jää tarpeettomaksi. Asetusmuutosta voi pyytää asiakaspalvelustamme. (Sen voi myös tietyissä tapauksissa tehdä itse hallintapaneelista pääkäyttäjätunnuksilla kohdasta "Kotisivutila & verkkotunnukset" -> (oma domain) -> "PHP-tuki ajetaan" -kohtaan valitaan "Apache module".)

  • Mikäli käytössänne on julkaisujärjestelmä, jonka tiettyihin tiedostoihin (esim. konfiguraatiotiedostot) ei PHP:lla tulisi olla turvallisuussyistä kirjoitusoikeutta, vanha chmod 644 -oikeus tulee muuttaa tällaisilla tiedostoilla muotoon chmod 444. Yleisesti kaikkia tiedostoja ei kannata kuitenkaan mukauttaa näin, sillä muuten niiden päivittäminen ei FTP:nkään kautta onnistu.

  • Jatkossa tiedostoille ja hakemistoille, joihin PHP:n tulee voida kirjoittaa, riittää oikeudeksi esim. 644. (Arvoa 0777 ei tule enää käyttää!). Kehotamme myös ehdottomasti käymään kotisivujen levytilan läpi ja huomioimaan, että kaikki 0644 -oikeudella varustetut tiedostot ovat nyt FTP:n kirjoitettavissa (ellei niitä chmodata 444:ksi).

  • Yksittäisissä tapauksissa asiakkaidemme hakemistoista voi löytyä vielä www-data:n omistamia hakemistoja ja tiedostoja, jotka ovat syntyneet päälle jääneen vanhan Apache-prosessin tekemänä (tai SSL-suojatussa httpsdocs-hakemistossa, joihin tekemämme muutokset eivät oletusarvoisesti ulotu). Nämä voidaan korjata asiakkaan FTP-käyttäjälle asiakaspalvelusta erikseen pyytämällä.

  • Muutoksen myötä WWW-tilastoissa on myös tilapäinen toimintakatkos, mitä selvitämme parhaillaan. Asia korjataan lähipäivien kuluessa automaattisesti.

Lähiviikkoina pyrimme vielä päivittämään MySQL:n versioon 5.1 sekä julkaisemaan kesän aikana uuden Nettisivukone-tuotteemme, jonka avulla kotisivujen suunnittelu käy helposti. Ilmoitamme Nettisivukoneen julkaisusta vielä myöhemmin erikseen.

Takaisin