<?xml version="1.0" encoding="utf-8"?>

<chapter xml:id="security.cgi-bin" xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink">

<title>О безопасности PHP в режиме CGI-программы</title>

<sect1 xml:id="security.cgi-bin.attacks">

<title>Возможные атаки</title>

<simpara>

Установка PHP в виде двоичного файла, который взаимодействует с веб-сервером

по протоколу <acronym>CGI</acronym>, представляет альтернативу

интегрированию PHP в серверное ПО наподобие веб-сервера Apache в виде модуля

и альтернативу установкам, которым придётся использовать PHP с набором

<acronym>CGI</acronym>-обёрток, чтобы сделать окружения для скриптов безопасными

в части установки утилитами <command>chroot</command> и <command>setuid</command>

корневого каталога и идентификатора пользователя, от имени которого выполнится скрипт.

При установке PHP в виде CGI-программы исполняемый двоичный файл <command>php</command>

часто устанавливают в каталог веб-сервера <filename class="directory">cgi-bin</filename>.

Компьютерная группа реагирования на чрезвычайные ситуации (англ. Computer Emergency Response Team, CERT)

подготовила рекомендацию <link xlink:href="&url.cert;">CA-96.11</link>, в которой не советует

располагать интерпретаторы в каталоге <filename class="directory">cgi-bin</filename>.

Двоичный файл <command>php</command> спроектировали так, чтобы даже при работе в качестве

автономного интерпретатора файл защищал от атак, риск которых появляется при установке PHP в режиме CGI:

</simpara>

<itemizedlist>

<listitem>

<simpara>

Доступ к системным файлам через запрос вида: <filename

role="url">http://my.host/cgi-bin/php?/etc/passwd</filename>.

</simpara>

<simpara>

Информация в query-компоненте, который URL-адрес запроса содержит

после вопросительного знака (<literal>?</literal>), передаётся

интерпретатору через CGI-интерфейс как аргументы командной строки.

Стандартное поведение интерпретатора — открыть и исполнить в командной строке файл,

который указали как первый аргумент запроса.

</simpara>

<simpara>

В режиме CGI-обработчика <command>php</command> не станет

интерпретировать аргументы командной строки.

</simpara>

</listitem>

<listitem>

<simpara>

Доступ к произвольному документу на сервере:

<filename

role="url">http://my.host/cgi-bin/php/secret/doc.html</filename>.

</simpara>

<simpara>

Информация в path-части URL-адреса наподобие <filename role="uri">/secret/doc.html</filename>,

которая идёт после названия двоичного файла PHP, указывает название файла,

который <acronym>CGI</acronym>-программа откроет и интерпретирует.

Отдельные директивы конфигурации наподобие директивы <literal>Action</literal>

в конфигурации веб-сервера Apache указывают, чтобы перенаправить запрос к документам вида

<filename role="url">http://my.host/secret/script.php</filename> к интерпретатору PHP.

При такой настройке веб-сервер сначала проверяет права доступа к каталогу

<filename role="uri">/secret</filename>, а затем создаёт и перенаправляет запрос к файлу

<filename role="url">http://my.host/cgi-bin/php/secret/script.php</filename>.

К сожалению, веб-сервер проверит права доступа только к файлу <filename role="uri">/cgi-bin/php</filename>,

но не проверит права доступа к файлу <filename role="uri">/secret/script.php</filename>,

если запрос в самом начале задали в полной форме. Поэтому пользователи с доступом

к файлу <filename role="uri">/cgi-bin/php</filename> получат доступ к защищённым документам на сервере.

</simpara>

<simpara>

Для предотвращения атак, которые направляют на каталоги с ограничениями доступа,

если такие содержит дерево документов сервера, в PHP пользуются директивами конфигурации

<link linkend="ini.cgi.force-redirect">cgi.force_redirect</link>,

<link linkend="ini.doc-root">doc_root</link>

и <link linkend="ini.user-dir">user_dir</link>, которые PHP учитывает при выполнении кода.

Подробнее опции и их комбинации рассматривают следующие главы раздела.

</simpara>

</listitem>

</itemizedlist>

</sect1>

<sect1 xml:id="security.cgi-bin.default">

<title>Вариант 1: обслуживание только общедоступных файлов</title>

<simpara>

Опциями, которые упоминает предыдущая глава раздела, не пользуются,

если на сервере нет файлов, доступ к которым ограничили паролем или фильтром по IP-адресам.

В ситуации, при которой веб-сервер не разрешает выполнять перенаправления

или у сервера нет способа сообщить исполняемому PHP-файлу

о безопасном перенаправлении запроса,

включают ini-директиву <link linkend="ini.cgi.force-redirect">cgi.force_redirect</link>.

Но при этом по-прежнему требуется убедиться, что альтернативные способы

вызова скрипта наподобие непосредственного

вызова файла <filename role="php">http://my.host/cgi-bin/php/dir/script.php</filename>

или вызова с переадресацией к файлу <filename role="php">http://my.host/dir/script.php</filename>

недоступны.

</simpara>

<simpara>

На веб-сервере Apache перенаправление конфигурируют

через директивы <literal>AddHandler</literal> и <literal>Action</literal>,

которые описывает следующая глава раздела.

</simpara>

</sect1>

<sect1 xml:id="security.cgi-bin.force-redirect">

<title>Вариант 2: включение директивы <literal>cgi.force_redirect</literal></title>

<simpara>

Конфигурационная директива <link linkend="ini.cgi.force-redirect">cgi.force_redirect</link>

запрещает прямой вызов <command>php</command> по URL-адресу, похожему

на <filename role="php">http://my.host/cgi-bin/php/secretdir/script.php</filename>.

В этом режиме вместо прямого вызова PHP разберёт поступивший запрос,

только если запрос перенаправил веб-сервер.

</simpara>

<simpara>

Перенаправление в конфигурации Apache чаще настраивают

через следующие директивы:

</simpara>

<programlisting role="apache-conf">

</programlisting>

<simpara>

Опцию конфигурации протестировали только с веб-сервером Apache/

При установке нестандартной переменной CGI-окружения <envar>REDIRECT_STATUS</envar>

для перенаправленных запросов опция полагается на веб-сервер Apache.

Нельзя пользоваться этой опцией конфигурации, если веб-сервер не поддерживает

способы определения прямых и перенаправленных запросов, и лучше запускать CGI-версии PHP

другими способами, которые описывает раздел.

</simpara>

</sect1>

<sect1 xml:id="security.cgi-bin.doc-root">

<title>Вариант 3: включение директив doc_root или user_dir</title>

<simpara>

Включение в каталоги документов веб-сервера активного содержимого

наподобие скриптов и исполняемых файлов ослабляет безопасность.

Из-за ошибок в конфигурации сервера, когда скрипты не выполняются, а отображаются

в браузере как HTML-документы, утекает интеллектуальная собственность

или конфиденциальная информация наподобие паролей.

Поэтому системные администраторы отдают преимущество настройке другой структуры

каталогов хранения скриптов, к которым открывают доступ только через CGI-интерфейс PHP,

который гарантирует интерпретацию, а не вывод кода скриптов.

</simpara>

<simpara>

Потребуется установить через директиву <link linkend="ini.doc-root">doc_root</link>

корневой каталог, который отличается от корневого каталога веб-документов,

если метод, который проверяет запросы на перенаправление, как описывает предыдущая глава,

недоступен.

</simpara>

<simpara>

Корневой каталог для PHP-скриптов устанавливают

<link linkend="configuration.file">в файле конфигурации PHP</link>

через директиву <link linkend="ini.doc-root">doc_root</link>

или через переменную окружения <envar>PHP_DOCUMENT_ROOT</envar>.

При установке корневого каталога для PHP-скриптов <acronym>CGI</acronym>-версия

двоичного файла PHP сформирует путь к файлу, который требуется открыть,

на основе значения директивы <parameter>doc_root</parameter> и пути,

который указали в запросе. Это гарантирует, что скрипты за пределами

этого каталога, за исключением каталога <parameter>user_dir</parameter>,

не выполнятся.

</simpara>

<simpara>

Другая директива, которая помогает создавать безопасные пути к файлам, —

<link linkend="ini.user-dir">user_dir</link>. Путём к файлу, который требуется открыть,

управляет только директива <parameter>doc_root</parameter>, если директиву

<parameter>user_dir</parameter> не установили. При запросе URL-адреса наподобие

<filename role="url">http://my.host/~user/doc.php</filename> обработчик откроет файл

с названием <filename role="uri">~user/doc.php</filename> (да, название каталога

начинается с символа <literal>~</literal>) в каталоге, который установили в директиве

<parameter>doc_root</parameter>, а не файл в домашнем каталоге пользователей.

</simpara>

<simpara>

Но если для директивы <parameter>user_dir</parameter> установили значение наподобие

<filename role="dir">public_php</filename>, то запрос URL-адреса

<filename role="url">http://my.host/~user/doc.php</filename>

откроет файл <filename>doc.php</filename>, который лежит

в домашнем каталоге пользователя в директории <filename role="dir">public_php</filename>.

Приведём пример. Обработчик выполнит файл <filename>/home/user/public_php/doc.php</filename>,

если домашний каталог пользователя <filename role="dir">/home/user</filename>.

</simpara>

<simpara>

PHP разворачивает значение директивы <parameter>user_dir</parameter>

независимо от настройки директивы <parameter>doc_root</parameter>,

поэтому управлять корневым каталогом документов веб-сервера

и каталогом пользователя разрешается по отдельности.

</simpara>

</sect1>

<sect1 xml:id="security.cgi-bin.shell">

<title>Вариант 4: PHP вне дерева веб-документов</title>

<para>

Безопасность значительно повышается за счёт переноса двоичного файла PHP-парсера

за пределы дерева веб-файлов, в каталог наподобие <filename role="dir">/usr/local/bin</filename>.

Единственный недостаток такого способа

состоит в том, в первую строку каждого файла с PHP-тегами придётся вставить аргумент:

<informalexample>

<programlisting>

</programlisting>

</informalexample>

Аналогично другим CGI-скриптам, которые написали на языке Perl, sh или другом скриптовом

языке общего назначения, который использует символы <literal>#!</literal> — механизм shell-экранирования

для запуска самого себя, потребуется сделать каждый файл скрипта исполняемым.

</para>

<para>

Для корректной обработки PHP-интерпретатором переменных окружения

<envar>PATH_INFO</envar> и <envar>PATH_TRANSLATED</envar>

потребуется включить ini-директиву <link linkend="ini.cgi.discard-path">cgi.discard_path</link>.

</para>

</sect1>

</chapter>