Encore suite à passage serveur ==> wheezy : alerte W

SERVEUR :
Un cron reçu 2 x/H :

Est-ce important et puis-je ne pas en tenir compte en le supprimant :question:

[quote]# /etc/cron.d/php5: crontab fragment for php5

This purges session files older than X, where X is defined in seconds

as the largest value of session.gc_maxlifetime from all your php.ini

files, or 24 minutes if not defined. See /usr/lib/php5/maxlifetime

Look for and purge old sessions every 30 minutes

09,39 * * * * root [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -delete[/quote]

Salut,

As-tu réellement besoin de php5-suhosin ?

Sinon, Debian Bug report logs - #668739


[code][18:05:08][root@facteur] ~ # dpkg -l | grep php
ii libapache2-mod-php5 5.4.4-14+deb7u5 i386 server-side, HTML-embedded scripting language (Apache 2 module)
ii php5 5.4.4-14+deb7u5 all server-side, HTML-embedded scripting language (metapackage)
ii php5-cli 5.4.4-14+deb7u5 i386 command-line interpreter for the php5 scripting language
ii php5-common 5.4.4-14+deb7u5 i386 Common files for packages built from the php5 source
ii php5-curl 5.4.4-14+deb7u5 i386 CURL module for php5
ii php5-dev 5.4.4-14+deb7u5 i386 Files for PHP5 module development
ii php5-gd 5.4.4-14+deb7u5 i386 GD module for php5
ii php5-imap 5.4.4-14+deb7u5 i386 IMAP module for php5
ii php5-intl 5.4.4-14+deb7u5 i386 internationalisation module for php5
ii php5-mcrypt 5.4.4-14+deb7u5 i386 MCrypt module for php5
ii php5-memcache 3.0.6-6 i386 memcache extension module for PHP5
ii php5-mysql 5.4.4-14+deb7u5 i386 MySQL module for php5

[18:05:19][root@facteur] ~ #
[/code]

[quote=“BelZéButh”]Salut,

As-tu réellement besoin de php5-suhosin ?

Sinon, Debian Bug report logs - #668739

[/quote]
Ben ça, je n’en sais rien :017
Merci pour le lien qui me montre que je ne suis pas seul.
Je n’ai pas envie de mettre une ligne Sid rien que pour ce truc et comme apparemment, mon site fonctionne bien, je vais tout simplement modifier le cron pour qu’il n’alerte qu’une fois/jour, en attendant une éventuelle réparation.
Merci de ta réponse.

Suhosin n’est plus nécessaire si t’es passé sous wheezy et que t’as MAJ ton paquet php.
Je me souviens avoir eu le même message, avoir fait quelques recherches, et avoir vu que ce “plugin” n’était plus utile, il servait pour la sécurité mais maintenant les vérifications qu’il faisait sont incluses directement dans le paquet habituel si je me souviens bien.
Petit quote de wikipédia :

[quote]Suhosin (Korean 수호신, meaning intelligent) is an open source patch for PHP. “The goal behind Suhosin is to be a safety net that protects servers from insecure PHP coding practices.”[1]
Suhosin goes further than that however in allowing the attack surface that PHP adds to a Web Server to be reduced to the users needs through function whitelists and various other easily enabled protections. This may reduce the risk of deploying previously deemed unsafe PHP programs to an acceptable level.
In some Linux distributions, notably Debian in versions up to 6.x (“squeeze”/“oldstable”) and Gentoo Linux it was shipped by default. Suhosin has been removed from Debian as of version 7 (wheezy).[/quote]

Sinon pourquoi ce quote du GB de php? (en 2ème partie)

[quote=“Kristy”]…
Sinon pourquoi ce quote du GB de php? (en 2ème partie)[/quote]
C’était le baratin et la ligne cron qui étaient dans le /etc/cron.d concerné.

Merci d’avoir confirmé l’inutilité de Suhosin.
J’avais réduit l’alerte cron à 1 x/mois mais je vais pouvoir supprimer complètement ce cron, le paquet php5-Suhosin n’est pas (plus ?) installé, lui.

NON !
Ce CRON est important : il supprime les sessions PHP périmées. Il faut le conserver et le laisser se lancer toutes les 30mn comme initialement, sinon tes sessions PHP vont rester actives ad vitam aeternam, ce qui (selon ton site) peut poser des problèmes de sécurité pour tes utilisateurs.

Plutôt que de supprimer le symptôme (l’appel via CRON) il faut trouver la cause. Cherche dans ton [mono]php.ini[/mono] (et/ou dans les répertoires [mono].d[/mono] de PHP) si tu as quelque chose en rapport avec suhosin.

Voici ce que j’ai trouvé mais je ne comprends rien, comme d’habitude :

[code]cat /etc/php5/conf.d/suhosin.ini
; configuration for php suhosin module
extension=suhosin.so

;;;;;;;;;;;;;;;;;;;
; Module Settings ;
;;;;;;;;;;;;;;;;;;;
; the following values are the internal default settings and set implicit
; feel free to modify to your needs
; documentation can be found at:
; http://www.hardened-php.net/suhosin/configuration.html
; or have a look into /usr/share/doc/php5-suhosin/examples/suhosin.ini.gz

[suhosin]
; Logging Configuration
;suhosin.log.syslog =
;suhosin.log.syslog.facility = 9
;suhosin.log.syslog.priority = 1
;suhosin.log.sapi =
;suhosin.log.script = 0
;suhosin.log.phpscript = 0
;suhosin.log.script.name =
;suhosin.log.phpscript.name =
;suhosin.log.use-x-forwarded-for = off

; Executor Options
;suhosin.executor.max_depth = 0
;suhosin.executor.include.max_traversal = 0
;suhosin.executor.include.whitelist =
;suhosin.executor.include.blacklist =
;suhosin.executor.include.allow_writable_files = on
;suhosin.executor.func.whitelist =
;suhosin.executor.func.blacklist =
;suhosin.executor.eval.whitelist =
;suhosin.executor.eval.blacklist =
;suhosin.executor.disable_eval = off
;suhosin.executor.disable_emodifier = off
;suhosin.executor.allow_symlink = off

; Misc Options
;suhosin.simulation = off
;suhosin.apc_bug_workaround = off
;suhosin.sql.bailout_on_error = off
;suhosin.sql.user_prefix =
;suhosin.sql.user_postfix =
;suhosin.multiheader = off
;suhosin.mail.protect = 0
;suhosin.memory_limit = 0

; Transparent Encryption Options
;suhosin.session.encrypt = on
;suhosin.session.cryptkey =
;suhosin.session.cryptua = on
;suhosin.session.cryptdocroot = on
;suhosin.session.cryptraddr = 0
;suhosin.session.checkraddr = 0
;suhosin.cookie.encrypt = on
;suhosin.cookie.cryptkey =
;suhosin.cookie.cryptua = on
;suhosin.cookie.cryptdocroot = on
;suhosin.cookie.cryptraddr = 0
;suhosin.cookie.checkraddr = 0
;suhosin.cookie.cryptlist =
;suhosin.cookie.plainlist =

; Randomness
;suhosin.srand.ignore = on
;suhosin.mt_srand.ignore = on

; Filtering Options
;suhosin.filter.action =
;suhosin.cookie.max_array_depth = 100
;suhosin.cookie.max_array_index_length = 64
;suhosin.cookie.max_name_length = 64
;suhosin.cookie.max_totalname_length = 256
;suhosin.cookie.max_value_length = 10000
;suhosin.cookie.max_vars = 100
;suhosin.cookie.disallow_nul = on
;suhosin.get.max_array_depth = 50
;suhosin.get.max_array_index_length = 64
;suhosin.get.max_name_length = 64
;suhosin.get.max_totalname_length = 256
;suhosin.get.max_value_length = 512
;suhosin.get.max_vars = 100
;suhosin.get.disallow_nul = on
;suhosin.post.max_array_depth = 100
;suhosin.post.max_array_index_length = 64
;suhosin.post.max_name_length = 64
;suhosin.post.max_totalname_length = 256
;suhosin.post.max_value_length = 1000000
;suhosin.post.max_vars = 1000
;suhosin.post.disallow_nul = on
;suhosin.request.max_array_depth = 100
;suhosin.request.max_array_index_length = 64
;suhosin.request.max_totalname_length = 256
;suhosin.request.max_value_length = 1000000
;suhosin.request.max_vars = 1000
;suhosin.request.max_varname_length = 64
;suhosin.request.disallow_nul = on
;suhosin.server.encode = on
;suhosin.server.strip = on
;suhosin.upload.max_uploads = 25
;suhosin.upload.disallow_elf = on
;suhosin.upload.disallow_binary = off
;suhosin.upload.remove_binary = off
;suhosin.upload.verification_script =
;suhosin.session.max_id_length = 128
;suhosin.coredump = off
;suhosin.protectkey = 1
;suhosin.stealth = 1
;suhosin.perdir = “0”
[/code]

Je pense que commenter cette ligne (mettre un [mono];[/mono] devant) sera suffisant :

C’est ça qui dit à PHP de charger l’extension suhosin. D’où les warnings dans tes logs vu que le paquet n’est pas installé et que PHP ne peut donc pas honorer cette directive.
Redémarrer ce qui utilise PHP (normalement juste Apache) et ça devrait être bon. N’oublie pas de rétablir ton fichier CRON comme il était au départ (toutes les 30mn).
Si ça marche bien, tu peux même supprimer complètement [mono]suhosin.ini[/mono] (qui n’est probablement qu’un reste de ta Squeeze).

Effectivement IL FAUT ABSOULMENT LAISSEZ LA TACHE CRON PHP (le GB), je vais pas répéter la personne au dessus a tout dit.

Ensuite, pour résoudre ton problème 3 choses :

  • Enlever la ligne “extension=suhosin.so” / “extension=suhosin.ini” dans les fichiers :
    /etc/php5/apache2/php.ini
    /etc/php5/cli/php.ini

  • Supprimer le/les fichiers “suhosin.ini/suhosin.so” dans ton php5/conf.d/

  • Laissez active la tâche cron /etc/cron.d/php

Je fais tout ça cet AM et je donne la réponse.

[quote=“syam”]Je pense que commenter cette ligne (mettre un [mono];[/mono] devant) sera suffisant :

C’est ça qui dit à PHP de charger l’extension suhosin. D’où les warnings dans tes logs vu que le paquet n’est pas installé et que PHP ne peut donc pas honorer cette directive.
Redémarrer ce qui utilise PHP (normalement juste Apache) et ça devrait être bon. N’oublie pas de rétablir ton fichier CRON comme il était au départ (toutes les 30mn).
Si ça marche bien, tu peux même supprimer complètement [mono]suhosin.ini[/mono] (qui n’est probablement qu’un reste de ta Squeeze).[/quote]
Fait : wait & see

Question subsidiaire : [mono]’;’ remplace ‘#’ ou les deux restent valables[/mono] :question:
C’est nouveau ou ça a toujours existé :question:

[quote=“Kristy”]- Enlever la ligne “extension=suhosin.so” / “extension=suhosin.ini” dans les fichiers :
/etc/php5/apache2/php.ini
/etc/php5/cli/php.ini[/quote]Ligne absente dans les deux fichiers

/etc/php5/conf.d/suhosin.ini ==> /etc/php5/conf.d/suhosin.ini-vieux

[quote=“Kristy”]- Laissez active la tâche cron /etc/cron.d/php[/quote]Fait.
Merci, réponse dans quelques temps.

[quote=“ricardo”]Question subsidiaire : [mono]’;’ remplace ‘#’ ou les deux restent valables[/mono] :question:
C’est nouveau ou ça a toujours existé :question:[/quote]
Ça dépend de la syntaxe utilisée par le fichier/script pour ses commentaires.
Parfois un ‘#’ (c’est le symbole qu’on croise le plus souvent parce que celui utilisé dans les scripts bash), parfois un ‘;’, parfois un ou des ‘/’, le plus simple reste de voir ce qui est déjà utilisé dans le fichier.

1 heure plus tard et 3 “temps” de cron passés, aucun nouvel avertissement, je pense que c’est bon et que je peux marquer en résolu, non sans vous avoir, auparavant remercié :023

@ VV222 : merci pour cette explication, encore une chose d’apprise.

[quote=“ricardo”]1 heure plus tard et 3 “temps” de cron passés, aucun nouvel avertissement, je pense que c’est bon et que je peux marquer en résolu, non sans vous avoir, auparavant remercié :023

[/quote]

Nikel, tant mieux :slightly_smiling:.

Pour l’histoire des “;”, je rajouterai que si tu mets des “#” pour les lignes commentés dans ton php.ini, tu auras des jolies messages dans tes logs “# is depreciated please use ; instead” quelque chose comme ca (pour avoir tester :p).

[quote=“Kristy”][quote=“ricardo”]1 heure plus tard et 3 “temps” de cron passés, aucun nouvel avertissement, je pense que c’est bon et que je peux marquer en résolu, non sans vous avoir, auparavant remercié :023

[/quote]

Nikel, tant mieux :slightly_smiling:.

Pour l’histoire des “;”, je rajouterai que si tu mets des “#” pour les lignes commentés dans ton php.ini, tu auras des jolies messages dans tes logs “# is depreciated please use ; instead” quelque chose comme ca (pour avoir tester :p).[/quote]

Doit-on en déduire que ‘#’ est, ou est en passe de devenir, obsolète et sera remplacé par ‘;’ dans un avenir plus ou moins lointain :question:

Uniquement dans php.ini :wink:

OK, ils font “bande à part” :unamused: