From 9a3b0a5f148c31c6c571451ba9e9d158d4b78b59 Mon Sep 17 00:00:00 2001 From: Disassembler Date: Tue, 14 May 2019 14:45:23 +0200 Subject: [PATCH] Update Apache, PHP a TLS --- Web-server/Apache,-PHP-a-TLS.md | 27 ++++++++++++++++++++------- 1 file changed, 20 insertions(+), 7 deletions(-) diff --git a/Web-server/Apache,-PHP-a-TLS.md b/Web-server/Apache,-PHP-a-TLS.md index d8a4113..e82d49e 100644 --- a/Web-server/Apache,-PHP-a-TLS.md +++ b/Web-server/Apache,-PHP-a-TLS.md @@ -35,12 +35,12 @@ V Apache HTTP Serveru jsou aktivní následující moduly - access_compat, alias, auth_basic, authn_core, authn_file, authz_core, authz_host, authz_user, autoindex, brotli, deflate, dir, env, expires, filter, headers, http2, mime, mpm_event, negotiation, proxy, proxy_fcgi, proxy_http, reqtimeout, rewrite, setenvif, socache_shmcb, ssl, status, wsgi Apache server neposílá hlavičku s informací o verzi. OpenSSL je nastaveno pro podporu moderních a mainstreamově používaných protokolů a šifer následnovně: -- Verze OpenSSL: 1.1.1 -- Proporované protokoly: TLSv1.2, TLSv1.3 -- Podporované sady šifer: ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256 -- Vynucení preferencí šifer serveru: Ano -- Podpora komprese: Ne -- OCSP stapling: Ano +- **Verze OpenSSL:** 1.1.1 +- **Podporované protokoly:** TLSv1.2, TLSv1.3 +- **Podporované sady šifer:** ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256 +- **Vynucení preferencí šifer serveru:** Ano +- **Podpora komprese:** Ne +- **OCSP stapling:** Ano Výsledek Qualys SSL testu: [SSL_Server_Test__server.spotter.cz__Powered_by_Qualys_SSL_Labs_.pdf](uploads/bdab2d085a4538d5c0ad977a90493490/SSL_Server_Test__server.spotter.cz__Powered_by_Qualys_SSL_Labs_.pdf) @@ -53,4 +53,17 @@ PHP 7.2 interpret běží v samostatném manažeru procesů PHP-FPM a nesdílí V PHP-FPM jsou aktivní následující rozšíření - bcmath, bz2, calendar, ctype, curl, dba, dom, exif, fileinfo, ftp, gd, geoip, gettext, gnupg, iconv, imagick, imap, intl, json, ldap, mbstring, mysqli, mysqlnd, opcache, pdo, pdo_dblib, -do_mysql, pdo_pgsql, pdo_sqlite, pgsql, phar, posix, readline, shmop, simplexml, soap, sockets, sqlite3, sysvmsg, sysvsem, sysvshm, tokenizer, wddx, xdebug, xml, xmlreader, xmlrpc, xmlwriter, xsl, zip \ No newline at end of file +do_mysql, pdo_pgsql, pdo_sqlite, pgsql, phar, posix, readline, shmop, simplexml, soap, sockets, sqlite3, sysvmsg, sysvsem, sysvshm, tokenizer, wddx, xdebug, xml, xmlreader, xmlrpc, xmlwriter, xsl, zip + +PHP neposílá hlavičku s informací o verzi. Funkce spouštění externích procesů jsou zakázány. Odesílání mailů funkcí `mail()` a jejími deriváty je logováno do souboru `/var/log/phpmail.log`. + +Výčet některých nastavení PHP: +- max_execution_time = 600 +- max_input_time = 600 +- max_input_vars = 5000 +- memory_limit = 128M +- post_max_size = 16M +- upload_max_filesize = 16M +- max_file_uploads = 100 +- disable_functions = pcntl_alarm, pcntl_fork, pcntl_waitpid, pcntl_wait, pcntl_wifexited, pcntl_wifstopped, pcntl_wifsignaled, pcntl_wifcontinued, pcntl_wexitstatus, pcntl_wtermsig, pcntl_wstopsig, pcntl_signal, pcntl_signal_get_handler, pcntl_signal_dispatch, pcntl_get_last_error, pcntl_strerror, pcntl_sigprocmask, pcntl_sigwaitinfo, pcntl_sigtimedwait, pcntl_exec, pcntl_getpriority, pcntl_setpriority, pcntl_async_signals, exec, passthru, popen, proc_open, shell_exec, system +