PHP 服务器安装
OpenRASP 依赖于如下几个扩展。如果你在使用发行版自带的 PHP 环境,可以使用 yum
、apt-get
等工具安装下这些扩展;如果是自己编译的 PHP 环境,则需要在编译阶段开启这些功能。
- pdo
- pcre
- json
对于服务器环境和操作系统的支持情况,可查看兼容性说明 - PHP Agent,目前 5.3 - 7.3 都是支持的。
自动化安装
下载 rasp-php-linux.tar.bz2
或者 rasp-php-linux-ts.tar.bz2(线程安全版本)
并解压缩。之后进入到解压后的目录中,e.g rasp-php-20180320
如果你要开启远程管理,请先参考 管理后台 - 添加主机 文档,找到 app_id/app_secret/backend_url
三个关键参数,然后执行如下命令,
php install.php -d /opt/rasp --backend-url http://myserver:port --app-secret XXX --app-id XXXX
如果你只是运行单机版,只需要指定 -d 参数,
php install.php -d /opt/rasp
其中 /opt/rasp
为 OpenRASP 安装目录,用于存储检测插件、报警日志等等,可根据实际情况调整。在某些情况下,php cli
和 php-fpm
使用的 ini 不同,自动安装程序可能会失败。
升级 PHP Agent
首先,备份老的扩展,e.g
mv /usr/lib64/php/modules/openrasp.so /usr/lib64/php/modules/openrasp.so.bak
然后,安装新的扩展,e.g
cp openrasp.so /usr/lib64/php/modules/openrasp.so
最后,通过 graceful reload 方式重新加载服务。
针对不同的服务器类型,你需要执行不同的命令,e.g
PHP-FPM 服务器
killall -USR2 php-fpm
Apache HTTPD 服务器
apachectl -k reload
需要注意的是,请不要直接覆盖 openrasp.so
,否则会产生意想不到的内存错误。我们建议使用 重命名方式
来安装新版,以避免出现问题。
手动安装 - Linux
1. 确认基本信息
在 web 目录下面,我们建立一个 info.php
,并填写如下内容
<?php phpinfo();?>
在浏览器里打开这个页面,使用搜索功能,
- 定位到
extension_dir
字样,确认PHP扩展安装目录- e.g
/usr/lib/php/20151012
- e.g
- 搜索
Additional .ini files parsed
字样,- 如果找到了,我们就在这个目录下面创建一个新的 ini 文件,e.g
/etc/php.d/z-openrasp.ini
- 如果找到了,我们就在这个目录下面创建一个新的 ini 文件,e.g
- 如果找不到,就定位到
Loaded Configuration File
字样,确认 ini 配置文件路径- e.g
/etc/php.ini
- e.g
2. 安装软件
首先,根据你的 PHP 版本号,复制正确的 openrasp.so
到扩展目录,e.g
cp php/linux-php5.4-x86_64/openrasp.so /usr/lib/php/20151012
chmod 755 /usr/lib/php/20151012/openrasp.so
然后,确定 OpenRASP 安装目录,在这里我们使用 /opt/rasp
这个目录将会用于存储检测插件、报警日志、插件日志等内容,需要手动创建,并保证 PHP 进程可以写入,e.g
mkdir -p /opt/rasp
chmod 777 -R /opt/rasp
由于报警日志存储在 /opt/rasp/logs
,我们建议挑选一个空间较大的分区,以避免将根分区打满
最后,修改 php.ini
,或者创建 z-openrasp.ini
文件,添加如下内容:
; BEGIN OPENRASP
[openrasp]
extension=openrasp.so
openrasp.root_dir=/opt/rasp
; 远程管理配置,不需要不用配置
; openrasp.backend_url=
; openrasp.app_id=
; openrasp.app_secret=
; openrasp.remote_management_enable=1
; END OPENRASP
其中,openrasp.root_dir
表示刚才选择的 OpenRASP 安装目录,不填写则无法加载。对于其他配置参数,可参考其他配置文档进行调整。
3. 安装检测插件
点击这里下载官方插件 plugins/official/plugin.js,并放置到 <openrasp.root_dir>/plugins/
目录,下载后自动加载并生效。
4. 验证安装是否成功
访问刚才创建的 info.php
,检查 openrasp
模块是否加载成功即可,e.g
如果你没有看到类似的信息,则说明扩展加载失败。常见原因有
- PHP版本和扩展版本不一致,比如 PHP 是 5.3 版本,但你安装了 PHP 5.6 版本的 openrasp.so
- INI 配置不正确,请参考 php error.log 里的错误消息
- 所有的错误消息都以
[OpenRASP] 错误码
开头,方便和其他日志进行区分 - 对于 apache/nginx,可以查看类似
/var/log/nginx/error.log
的路径
- 所有的错误消息都以
确认安装成功后,请删除 info.php
这个文件,以避免泄露敏感信息。
手动安装 - MacOS
我们只支持 Homebrew PHP 5.6
版本,安装过程同 Linux 系统,aka
- 复制 dylib 文件到 PHP 扩展目录
- 修改 INI 配置文件
- 重启 php-fpm 生效
另外,MacOS 版本不支持远程管理。
FAQ
1. include/require hook 点未生效
OpenRASP 扩展跟 xdebug
模块存在冲突,若同时开启了 xdebug
模块,请先禁用它
2. 单机版 php-fpm 模式下,插件目录的文件监控功能,有时会失效
在 openrasp 扩展初始化时,我们创建了文件监控线程,用于插件目录的监控。当我们发现插件目录发生变化,就会通过发送 USR2
信号的方式,通知 php-fpm master process
去重新加载子进程,即 gracefully reload。
然而,如果你在启动 php-fpm
的时候,没有使用 -F
参数,则意味着 php-fpm
会主动 fork() 到后台。此时,我们创建的文件监控线程就会失效,也就无法监控插件目录了。
解决方法就是使用 php-fpm -F
这样的方式启动PHP服务器。当然,如果你使用发行版自带的 php-fpm,通常都是这样启动的,无需担心。
3. OpenRASP正常拦截攻击,但是alarm.log没有日志
默认情况下,OpenRASP会被安装到/opt/rasp
,以下用<openrasp.root_dir>
代替。你需要检查<openrasp.root_dir>/rasp/logs
目录是否存在,以及是否有写权限。
常见没有权限的原因有:
- 使用了root账号安装OpenRASP,而应用使用低权限账号运行(比如nobody)。
- 可以执行
chmod 777 -R <openrasp.root_dir>/logs
增加权限 - 也可以使用chmod修改上述目录的属主(更加安全)
- 可以执行
- 开启了LSM
- 对于CentOS/RHEL系统,请检查SELinux是否开启。如果开启,可执行
setenforce 0
关闭 - 对于Debian/Ubuntu系统,请检查AppArmor是否开启。如果开启,可以修改php-fpm、apache进程的加固配置
- 对于CentOS/RHEL系统,请检查SELinux是否开启。如果开启,可执行
- 开启了open_basedir配置
- 我们使用PHP Stream方式写入日志,需要将日志目录加到open_basedir白名单里。如果没有加入,将会看到类似这样的错误
PHP Warning: scandir(): open_basedir restriction in effect. File(/www/rasp/logs/alarm/alarm.log.2018-07-26) is not within the allowed path(s)
- 由于nginx/php-fpm/apache都可以修改php的配置,建议在网站根目录下放置phpinfo来检查该配置项,要比命令行准确
- 我们使用PHP Stream方式写入日志,需要将日志目录加到open_basedir白名单里。如果没有加入,将会看到类似这样的错误
- 如果依然无法解决问题,请检查 php
error_log
是否有 OpenRASP 相关的错误日志- 如果没有配置过,请在 php.ini 里开启,e.g
error_log = /tmp/php_error.log
- 如果没有配置过,请在 php.ini 里开启,e.g
4. CentOS 7.4 apache 使用 systemd 启动会崩溃的问题
systemd 会限制应用栈的大小,导致 openrasp 无法启动。你通过修改 /usr/lib/systemd/system/httpd.service
,并提高 LimitStack 的值来解决问题。经过测试,我们发现将栈大小限制改为 16MB 可以解决问题,对应的配置为:
LimitStack=163840
当然,直接使用命令行启动 apache 是没有这个问题的,因为他会继承系统默认的 limit 配置,即 unlimited
。
5. php_json_encode 未定义错误
OpenRASP 依赖于多个PHP扩展,json、pdo、pcre 等等。由于 PHP 不会严格按照依赖顺序去加载扩展,所以当 openrasp 先于 json 加载,就会产生这个错误,e.g
PHP Warning: PHP Startup: Unable to load dynamic library '/usr/lib64/php/modules/openrasp.so' - /usr/lib64/php/modules/openrasp.so: undefined symbol: php_json_encode in Unknown on line 0
解决方法就是让 openrasp
扩展最后加载。常见的做法是调整配置文件的权重,比如将 openrasp
配置文件改为 /etc/php.d/z-openrasp.ini
,这样 json 配置文件就会先于 openrasp 配置文件加载,就解决了扩展依赖的问题。
6. 无法检测到 web 目录下的敏感文件?
当PHP服务器处理过至少一次请求后,我们才能够检测到 webroot,之后才会启动敏感目录检测功能。为了保证性能,该检测点具有如下限制:
- 只会检测根目录,子目录不会处理
- 最多在内存里缓存 256 个不同的 webroot 路径,超过这个限制时,只保留已有的路径
7. alphine 环境无法启动,提示找不到 ld-linux-x86-64.so.2
根据QQ群用户反馈,增加软连接可以解决问题:
ln -s /lib64/ld-linux-x64-64.so.2 /lib/
8. 如何判断PHP是否为线程安全版本
执行如下命令,如果返回 bool(true)
则是线程安全(TS)版本
php -r "var_dump(ZEND_THREAD_SAFE);"
当然也可以编写PHP脚本来测试,如果页面返回 bool(true)
则是线程安全(TS)版本
<?php echo var_dump(ZEND_THREAD_SAFE); ?>