Frage zur Apache2/PHP Konfiguration und deren Sicherheit

phatair · 16. Juli 2017

Hallo zusammen,

ich habe noch mal eine Frage in Bezug auf meinen Root Server.

Die Konfiguration sieht im Moment wie folgt aus:

- Ubuntu 16.04

- LAMP mit Apache2 2.4.18, MariaDB 10.0.29 und PHP 7.0 bzw. 5.6

- SSH mit verändertem Port und KeyFile+Passwort

- UFW Firewall aktiviert und Zugriffe nur für 443,80 und geänderten SSH Port zugelassen

- Fail2ban konfiguriert

- SSL Verschlüsselung über Lets Encrypt

- 2 Seiten werden über den Server betrieben (cloud.wolkee.de und book.wolkee.de).

Bisher habe ich Nextcloud alleine betrieben. Hier ist php über den Apache Handler gelaufen. PHP war 7.0

Nun betreibe ich noch eine weitere Seite. Diese benötigt im Moment aber noch zwingend php5.6.

Also habe ich php5.6 zusätzlich installiert und das ganze über PHP-FPM realisiert.

Dazu habe ich meinen virtualhosts folgendes hinzugefügt:

Code

<IfModule mod_fastcgi.c>
  AddHandler php56-fcgi-www .php
  Action php56-fcgi-www /php56-fcgi-www
  Alias /php56-fcgi-www /usr/lib/cgi-bin/php56-fcgi-www
  FastCgiExternalServer /usr/lib/cgi-bin/php56-fcgi-www -socket /run/php/php5.6-fpm.sock -pass-header Authorization

  <Directory "/usr/lib/cgi-bin">
     Require all granted
  </Directory>
</IfModule>

<IfModule mod_fastcgi.c>
   AddHandler php70-fcgi-www .php
   Action php70-fcgi-www /php70-fcgi-www
   Alias /php70-fcgi-www /usr/lib/cgi-bin/php70-fcgi-www
   FastCgiExternalServer /usr/lib/cgi-bin/php70-fcgi-www -socket /run/php/php7.0-fpm.sock -pass-header Authorization

   <Directory "/usr/lib/cgi-bin">
      Require all granted
   </Directory>
</IfModule>

<IfModule mod_fastcgi.c>
   <FilesMatch ".+\.ph(p[345]?|t|tml)$">
      SetHandler php70-fcgi-www
   </FilesMatch>
</IfModule>

Alles anzeigen

Über "SetHandler php70-fcgi-www" oder "SetHandler php56-fcgi-www" kann ich nun in den VirtualHosts entscheiden ob PHP5.6 oder PHP7.0 als FPM/FastCGI läuft.

Das ganze habe ich auch mit einer info.php geprüft. Die Server API und die PHP Version stimmt.

Beide Seiten laufen als private Seiten. Das heißt man kann nur nach einer Registrierung auf die Webseiten zugreifen. Seht ihr hier irgendwelche Gefahren, habe ich irgendwas falsch eingerichtet?

Ich bin noch am lernen was Linux angeht, daher würde ich mich über Antworten und eure Hilfe sehr freuen.

Ansonsten noch einen schönen Sonntag.

Gruß,

Steffen

mightyBroccoli · 19. Juli 2017

Extrem praktisch für eine Nextcloud Installation ist eine Redis Instanz die das file locking übernimmt.

PHP

 'filelocking.enabled' => 'true',
  'memcache.locking' => '\\OC\\Memcache\\Redis',
  'redis' =>
  array (
    'host' => '/var/run/redis/redis.sock',
    'port' => 0,
    'timeout' => 0.0,
  ),

Dazu dann noch ein Caching das vermutlich von deinem nginx übernommen wird um redundante Anfragen auf statische Dateien zu beschleunigen.

Dann sieht das erstmal ganz gut aus.