jueves, 5 de marzo de 2015

PHP HARDENING ILUSTRADO - PARTE 2 - Safe Mode - Open_BaseDir






Aplicando Seguridad en la Configuración en Tiempo de Ejecución 

Amigos estamos de regreso después de varios días de haber escrito la primera parte de este PHP HARDENING ILUSTRADO donde estamos hablando de que tomar en cuenta de una forma básica para asegurar nuestro PHP pero del lado de la configuración en tiempo de ejecución que es la encargada el PHP.ini

En esta ocasión le toca a los parametros:



--> SAFE MODE 
--> OPEN_BASEDIR




Comencemos con SAFE MODE, en si amigos este parámetro de PHP viene por default en apagado/desactivado (OFF) como se puede ver en la imagen:






Esta parámetro es una pequeña medida de prevención que muchos administradores que trabajan como proveedores de espacios de servicios web (hosting) usan para resolver todos los conflictos o problemas que tienen que ver con la seguridad de todos los servidores compartidos, muchos expertos comentan que tratar de corregir o prevenir esto con php pero también debemos de reconocer que todas las utilerias que existen para tal fin y que se supone que deben de ser mejores opciones para poner este tipo de seguridad no son como dicen algunos HOSTING-ISP no son realistas  y otro tanto desean dar a sus clientes la máxima importancia en sus espacios web y configuran el SAFE MODE desactivado y OPEN BASEDIR activado.



y por que algunos HOSTING-ISP lo usan así?


pues simplemente con el fin de ofrecer y garantizar la ejecución de todos los comandos o secuencia de comandos autorizados exclusivamente en los espacios web activando el OPEN_BASEDIR.



pero que es el OPEN_BASEDIR ?



De forma coloquial podríamos decir que es la instrucción que limita el proceso de PHP a archivos fuera de los directorios designados y preconfigurados específicamente o rutas de acceso desde las que PHP puede acceder a los archivos**.



cabe mencionar que estos ajustes de seguridad solo afectará a los scripts de PHP, esto debemos de tener en cuenta que los scripts programados en otro lenguaje tales como Ruby, Perl, Python y muchos mas no se verán afectados por esta configuración por deberemos de tener cuidado.


una configuración que se podría hacer es la siguiente:



 
1.- abrimos el php.ini y buscamos la sección

 
SET OPEN_BASEDIR 

 
en la cual podriamos poner algo asi:


 
; Set open_basedir to the 
open_basedir = "/ccat_edu_mx/web/content/x25reg/" 
 


pero recuerden solo permitir a OPEN_BASEDIR el acceso a la ruta especifica requerida, osea si van a usar algún archivo especifico.

Lo bueno de esto es que también podemos aplicarlo en los servidores APACHE dentro del HTTPD.CONF o dentro de un .HTACCESS escribiendo las siguientes directivas básicas.



 # Set open_basedir to a safe location php_value open_basedir /ccat_edu_mx/web/content/x25reg/:/usr/local/php2/ 


 

pero que es el HTTPD.CONF?

 

---------------------------------------
httpd.conf es un fichero de configuración del servidor web Apache. Almacena información acerca de diversas funciones del servidor, que pueden añadirse o eliminarse agregando un "#" a comienzo de línea, las cuales determinan los valores para cada directiva con el fin de configurar Apache.
------Definición tomada de WIKIPEDIA-------------


Que es el .HTACCESS ?

---------------------------------
Un fichero .htaccess, también conocido como archivo de configuración distribuida, es un fichero especial, popularizado por el Servidor HTTP Apache que permite definir diferentes directivas de configuración para cada directorio sin necesidad de editar el archivo de configuración principal de Apache. 

------Definición tomada de WIKIPEDIA-------------


En breve hablaremos de la importacia de estos dos archivos a la hora de configurar un servidor web APACHE



HTTPD.CONF  y  .HTACCESS
bueno amigos espero les sirva de algo este pequeño articulo y recuerden seguiremos viendo mas configuraciones de seguridad aplicadas a PHP.



SALUDOS.


No hay comentarios:

Publicar un comentario

Crowdstrike -> Solución de errores de actualización de CrowdStrike con BitLocker habilitado

En este pequeño articulo ver como componer el problema de CROWDSTRIKE cuando esta habilitado el BITLOCKER, cabe resaltar que puede ser una e...