Veraltete PHP Interpreter per Docker Server ?

[Flummifloh]

Hallo zusammen

Vorab: Ich bin noch relativ neu in dem ganzen Prozedere und möchte mich daher schon mal entschuldigen, wenn ich Sachen nicht ganz fachgerecht ausdrücke oder mir hier und da die Zusammenhänge fehlen.

Mich hält ein Thema grade quasi Nachts wach und ich wüsste gerne, ob es überhaupt möglich ist, oder ob wir uns eine andere Möglichkeit überlegen müssen.

Hintergrund:
Wir haben einen Server wo mehrere Kunden drauf liegen. Wir verwenden nur noch PHP Interpreter ab 7.2 (7.2 und 7.3 schalten wir aber auch zeitnahe ab, das ist aber erstmal irrelevant). Nun haben wir aber ein paar wenige (ca. 3-4) Kunden, die für ihr System eine kurze Zeit noch PHP 5.6 bzw. 5.3 benötigen.
Diese Versionen wollen wir natürlich nicht auf unserem System installieren, auch wenn Keyhelp das anbietet.

Die Idee:
Die Idee war nun, dass wir sowohl PHP als auch die Maria DB (hier wird ja auch was älteres genutzt) auf einen Containerhost auslagern (also wirklich auch auf einen anderen Server), für jeden Kunden den jeweiligen Container erstellen und dann auf dem Server einbinden. Bei der Maria DB sollte das ja kein Problem sein, da das am Ende übers CMS (Typo3) System läuft. Bei PHP muss es ja aber über die Apache Config laufen, die vom Keyhelp verwaltet wird. Ist das über die zusätzlichen Einstellungen irgendwie möglich, oder haben wir da keine Chance?

Wir wollen erst mal gucken, ob das ein realistisches Szenario ist, bevor wir ggf. andere Lösungen in Betracht ziehen. Dass es noch andere Möglichkeiten, wie einen eigenen Server für die Kunden oder komplette Containerisierung gibt ist uns bewusst.

Ich freue mich sehr auf Antworten!

LG
Flummi

[Tobi]

PHP 5.6 wäre mit KeyHelp nativ und ohne irgendwelche Nebenwirkungen machbar.
Warum also was basteln wenns doch ohnehin schon funktioniert?
Das erschließt sich mir nicht.

PHP 5.3 wird eher ein Problem.
Dies wird von KeyHelp nicht mehr unterstützt.
Da das aber ohnehin so alt & speziell ist würde ich dafür tatsächlich einen eigenen virtuellen Server aufsetzen.
Diesen würde ich aber anschließend über einen Apache-Proxy ausliefern.
So könnte man verhindern, dass der alte PHP 5.3 Server direkt ansprechbar ist.

[Flummifloh]

Hallo Tobi

Wir wollen die die veralteten PHP Versionen nicht über das Keyhelp installieren und auf dem Server verfügbar machen.

Oder kann man ausschließen, dass außer über die Domain wo die Version aktiviert ist ein Sicherheitsrisiko für die anderen Kunden besdteht?

Der Hintergrund ist, dass wir die unsicheren Versionen nicht als Sicherheitslücke auf dem Server aufmachen wollen.

Grüße
Flummi

[Tobi]

Du kannst mit KeyHelp Pro zusätzlich eine chroot Umgebung für deine Kunden schaffen.
In KeyHelp kannst du potentiell gefährliche PHP Funktionen sperren.

Mir ist bisher kein Fall bekannt in welchem die KeyHelp PHP-Version ursächlich für einen Exploit war.
Viel wahrscheinlicher ist es, dass das alte CMS direkt angegriffen wird.
Unabhängig von der verwendeten PHP Version.

[Flummifloh]

Sowas in die Richtung habe ich mir leider schon gedacht.

Sicherlich wäre es am sinnvollsten die paar Kunden auf einen eigenen Server zu schieben wo keinerlei andere Kunden drauf sind.

Keyhelp Pro haben wir aktuell leider nicht im Einsatz.

[tab-kh]

Meine Erfahrung: Kunden, die jetzt noch PHP 5.6 oder gar 5.3(!) benötigen, kümmern sich nicht um die technische Aktualität ihres Webauftritts und ändern da nur unter Druck irgendwas. Wenn du schreibst "eine kurze Zeit noch", dann gehe ich davon aus, dass ihr hier einen Termin festgesetzt und kommuniziert habt, dass ab Datum x PHP 5.3 und 5.6 nicht mehr funktionieren werden oder nur noch mit deutlich merkbaren Mehrkosten (Zusätzlicher Server, der auch erst mal aufgesetzt und getestet werden muss, Umzug usw. Stichwort "Extended Support"). Habt ihr aber nur geschrieben, "wir beabsichtigen den Support für PHP 5.3 bzw PHP 5.6 zu beenden", ohne klare und fixe Termine zu nennen, dann ist oft die vom Kunden erbetene "kurze Zeit" eher die Zeit bis zum St. Nimmerleinstag.

Umfangreiche Software zu erneuern ist oft ein großer Aufwand, ein Aufwand, den viele Kunden scheuen und erst dann auf sich nehmen, wenn es überhaupt gar nicht mehr anders geht oder richtig teuer wird. Wie oft habe ich gehört "ein Update ist leider nicht möglich" . Das beeindruckt mich mittlerweile nicht mehr. Wenn ein Update wirklich nicht mehr möglich ist, ein Relaunch ist immer möglich.

[Flummifloh]

Nein, nein. Die Kunden wissen, dass es einen Termin gibt.
Es sind auch eben nur 3-4 Kunden von insgesamt über 200 Kunden die jetzt dieses Angebot bekommen haben und natürlich deutlich mehr Hosting zahlen müssen. Bei einem der Kunden handelt es sich sogar nur um ein halbes Jahr, da dann der Relaunch der Website ansteht.

Ich sitzt seit einem halben Jahr an den Kommunikationen und Umzügen der Kunden. Alles was du sagt kann ich nur bestätigen. Aber letztendlich wirkt Druck tatsächlich am besten. Zum Glück haben wir mittlerweile auch fast alle Kunden runter von den alten Systemen.

Ich denke es wird auch darauf hinaus laufen, dass wir für die Kunden einen eigenen Server aufsetzten wo die Systeme drin laufen und wenn dort was passiert es sonst niemanden betrifft.

Grüßis

[suhype]

Die Antwort ist evtl. zu spät für dich aber:
Allenfalls könntest du die Software, welche die Kunden noch benötigen, in einem Docker-Container laufen lassen.
Dafür musst du nur Docker (ich selber mache alles über docker-compose) installieren und kannst mittels Apache Proxy auf den richtigen Container zeigen.
Meines Erachtens nach ist es dann auch nicht schlimm, wenn die Container mit den alten Versionen auf dem gleichen Host wie KeyHelp läuft.