Documentation : Configuration

Comme d'habitude, l'installation se fait par yum :

yum --enable remi install php-suhosin

Et pour ceux qui préfèrent le téléchargement : le dépôt

Les fonctionnalités sont très nombreuses et importantes et peuvent bloquer beaucoup de comportements potentiellement dangereux. Il est donc sans doute préférable de l'activer en mode "simulation" pour observer son comportement et peaufiner ses réglages avant de l'activer.

En résumé, suhosin permet de :

  • logging : configurer la journalisation des alertes de sécurité
  • execution : concerne la profondeur de récursion, l'utilisation des include, eval, appel de fonctions, ...
  • get : limitation de la taille
  • post : limitation de la taille
  • cookie : cryptage et limitation de la taille
  • request : limitation de la taille et du contenu
  • sql : ajout d'un préfixe/suffixe aux identifiants de connexions
  • upload : contrôle des autorisations
  • misc : limitation du memory_limit
  • cryptage des fichiers de sessions

Par contre, il est évident que son utilisation nécessite un investissement important, pour commencer, dans le fichier /etc/php.d/suhosin.ini :

# Ne rien bloquer pour l'instant, on teste ;)
suhosin.simulation = On
# Tout enregistrer dans les journaux d'apache
suhosin.log.sapi = 511

J'espère que cette extension, présente dans de nombreuses distributions, trouvera sa place dans les dépôts officiels.