PHP-FPM chroot + Zend OpCache = Problem
22.04.2014 yahe administration legacy linux security
Ich habe testweise einmal den Zend OpCache ausprobiert, der seit PHP 5.5.0 direkt enthalten ist und war eigentlich ziemlich zufrieden. Der Speicherverbrauch bei der Ausführung von WordPress war auf 1/5 geschrumpft. Allerdings haben sich Probleme gezeigt, bei denen ich noch nicht genau weiß, wie ich sie beheben soll.
Wikipad: Etherpad-Lite mit DokuWiki synchronisieren
17.04.2014 yahe code legacy linux update
Vor einiger Zeit habe ich mir ein Etherpad-Lite installiert, um verteilt und auch unterwegs Texte verfassen zu können, die ich anschließend veröffentliche oder anderweitig nutze. Das ist soweit toll, doch die Veröffentlichung war in meinen Augen unpraktischer, als sie sein müsste, da ich den Text kopieren, irgendwo anders einfügen und neu formatieren musste. Meine Idee war es deshalb, die Veröffentlichung direkt aus dem Etherpad-Lite heraus erledigen zu können, zum Beispiel bei kleineren Texten, die ich anderen zur Verfügung stellen möchte. Die Frage war nur, über welche Plattform die Veröffentlichung stattfinden sollte.
Restriktive Firewalls und Proxys durchbrechen
20.02.2013 yahe administration legacy linux security
Habt ihr schon einmal in einem Hotelzimmer gesessen, mehrere Euro für eine Stunde WLAN bezahlt und konntet den Internetzugang trotzdem nicht ordentlich nutzen, weil der Hotelbesitzer die Verbindung zugenagelt hat? Glücklicherweise gibt es eine Möglichkeit, das ganze zu umgehen.
DNS-Lookups für gechrootetes PHP-FPM
02.02.2013 yahe administration legacy linux security
Wenn man PHP chrootet, funktionieren mitunter die grundlegendsten Dinge nicht mehr, was jedoch erst dann auffällt, wenn ein Codeabschnitt eine bestimmte Funktion benötigt. Bei mir war das vor kurzem die DNS-Auflösung, die ich bisher nicht gebraucht hatte.
Exec() in PHP chroot-Umgebung
23.02.2012 yahe administration legacy linux security
Manchmal ist die Verwendung einer chroot-Umgebung für PHP mehr Fluch als Segen. Auf der einen Seite ist es ein wirklicher Sicherheitsgewinn. Aber auf der anderen Seite findet man immer wieder Kleinigkeiten, die einen eine ganze Weile aufhalten, bevor man bestimmte Funktionen nutzen kann.
NGINX: Verstecke Dateien und Ordner nicht ausliefern
16.09.2011 yahe administration legacy linux security
Eine eigentlich typische Anforderung: Versteckte Dateien und Ordner, denen unter Linux ein Punkt (".") vorangestellt wird, sollen nicht über den Webserver abrufbar sein. Wie man das beim Apache löst, hatte ich vor einiger Zeit bereits gezeigt. Für den Wechsel zu NGINX musste ich dieses Feature nun natürlich auch umsetzen.
NGINX: Subdomains umschreiben
10.09.2011 yahe administration legacy linux windows
Derzeit bin ich dabei, einfach konfigurierbare Domains nach NGINX umzuziehen. Heute war eine Domain darunter, die 1:1 auf eine andere Domain verweist. Dazu gehören auch die entsprechenden Subdomains. Leider fehlen der Rewrite-Sprache von NGINX hier und da ein paar Fähigkeiten wie verschachtelten IF-Blöcke und logischen Verknüpfungen in IF-Abfragen, um so etwas elegant zu lösen.
mod_rewrite und die falsche SSL-Sicherheit
10.03.2011 yahe administration legacy linux security windows
Immer wieder kommt es mir unter die Augen: Administratoren, die sich mit der von ihnen betreuten Software nicht auskennen und SSL für eine Anwendung benötigen, die überhaupt nicht für die Verwendung von SSL ausgelegt ist. Häufig wird in solchen Situationen beherzt und völlig ahnungslos auf eine Lösung auf Basis des Apache-Moduls mod_rewrite zurückgegriffen.
Versteckte Dateien per .htaccess schützen
10.11.2010 yahe administration legacy linux security
In meinen Augen sollte dieses Verhalten selbstverständlich sein: Dateien und Ordner, die auf einem Linuxserver versteckt vorliegen (also solche, deren Name mit einem Punkt (".") beginnt), sollten vom Apache Webserver natürlich auch nicht ausgeliefert werden. Leider sehen das die Entwickler des Apache Webservers anders und liefern standardmäßig nur solche Dateien nicht aus, die mit ".ht" beginnen.
Shared Hosting: Angriff auf Sessions möglich
08.05.2009 Yahe administration legacy linux security
Heute gibt es einen schon lange geplanten Artikel zu einem größeren Sicherheitsproblem. Meiner Erkenntnis nach könnte diese Lücke alle Shared Hosting Kunden betreffen, auch solche bei Reselling-Anbietern. Das Problem bei dieser Art des Webhostings ist, dass alle Webseiten von verschiedenen Kunden auf ein und demselben Server liegen und nur durch entsprechend gesetzte Zugriffsrechte voneinander getrennt sind. Das Problem hierbei ist, dass diese Zugriffsrechte nur mit viel Aufwand ganzheitlich durchsetzbar sind.
