Прочетох и на двете места.
Проблема е, че ползвам kloxo, а на него не мога да пусна chroot jail.
Има възможност да пусна suphp, но дали то ще помогне ?

Здравейте,
Държа си едно УЕБ сървърче с CentOS.
Днес ми казаха, че можело да се изпълняват команди чрез php shell и да се взима root достъп до сървъра, като това става през директориите на съответните потребители(домейни)(домейните се хостват в /home/името на домейна/името на домейна).
Та как да постигна максимално добра защита срещу хакерчета ?
За начало пуснах safe_mode и зададох на php
disable_functions = shell_exec,system,proc_open
 

Кое ще отнеме доста време, да компилира и изпълни няколко локални експлойта за linux ядрото?

Добре де, няма нужда да се следват някакви guidelines там от сорта на тези на ISSAF, да се списват бумащини, да се следват всички стъпки, да се документират и тем подобни глупости. Нали му имаш доверие - създай му акаунт на машината и го помоли да си пробва експлойтите. Наистина не виждам при какви обстоятелства ще му трябват повече от 2-3 часа, което определено не е доста време.

Ммм макар че аз не бих дал посмъртно на някой "хакер/кракер" да върши работа на моя машина - после ще трябва да ходя да почиствам всичко, за което не сме се разбрали.

Както и да е
Вече не ме интересува това.
Интересува ме как да постигна добра и ефективна защита.
CentOS 5.5 Lxadmin

Защо не предложиш на въпросният хакер/кракер да направи един penetration test на сървъра, за да потвърди че има какво да се счупи?

По втория въпрос, не мисля че ще получиш отговор, защото е прекалено обща тема. Ако можеше да стане, следвайки 2-3 съвета, нямаше да съществуват хора, които се занимават с това.

Благодаря ти много.
За penetration test-а ще го питам
Edit :

[13:45:42] Ника му: haha tova penetration testing-a e mit i legenda to purvo shte mi trqbva dosta vreme da probvam exploitite za centos vtoroto koeto e az ne go vladeq toest che vsichko v penetration testing-a e slojn o i v bulgaria nqma pochiti nikoi koito go vladee

RedHat, както и други големи вендори, имат достатъчно ресурси, за да си позволят да подържат собствено kernel tree, което е базирано на някаква версия и в което backport-ват разни features от по-нови версии на vanilla ядрото, които счетат за достатъчно стабилни, както и фиксове на разни бъгове и секюрити проблеми. Така че 2.6.18 ядрото в центос няма много общо с 2.6.18 от kernel.org.

Голяма част от дистрибуциите (такива, които не са редхат/дебиан/сусе-базирани, като например слакуер, разните сорс-базирани такива), нямат този ресурс и използват vanilla ядрото, затова за тях е важно да ship-ват възможно най-последната версия на ядрото, която е достатъчно стабилна и няма сериозни проблеми. Поради простата причина, че не могат да си позволят да плащат на екип от хора, които знаят какво правят (както при редхат) или нямат голямо community с относително добра организация и достатъчно хора в него, които знаят какво правят (дебиан).

Така че вместо да гледаш примерно на securityfocus кои версии на ядрото са affect-нати от проблема, по-добре виж бъгракинг системата на редхат за тоя проблем или release notes на последната версия на ядрото, която е достъпна в репо-то, вероятността проблемът да е отстранен (или да не те засяга) не е малка.

П.П. и може ли да видя някъде информация за въпросните уязвимости?

Каза ми го един хакер/кракер(както щете го наричайте)

[19:37:05] Ника му: e update-ni go 2.6.18 imashe dosta exploiti za nego toi e starichak
[19:37:34] Ника му: nishto che moje da ti se naloji restart ili da spresh servera za malko po dobre e ot nqkooi drug da ti go spre

Та в крайна сметка, дори да не ми се наложи да правя ъпдейт на кернела, как мога да си защитя машината от разни linux shell-чета, има разни дето се мъчат да изпълняват команди на някои уязвими сървъри(и в повечето случаи успяват), та искам и моят сървър да е защитен.

Здравейте, на CentOS съм и ползвам кернела 2.6.18-194.26.1.el5 i686
Не мога да ъпдейтна до най-новата версия.

# yum -y update
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * addons: centos.skknet.net
 * base: centos.skknet.net
 * extras: centos.skknet.net
 * updates: centos.skknet.net
Setting up Update Process
No Packages marked for Update

Пробвах и с yum update kernel, но

# yum update kernel
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * addons: centos.skknet.net
 * base: centos.skknet.net
 * extras: centos.skknet.net
 * updates: centos.skknet.net
Setting up Update Process
No Packages marked for Update

Спешно

Това е последната достъпна версия в репотата, ти защо мислиш че има по-нова?

Казаха ми, че за тази версия има exploit-и и реших да направя upgrade
@ROKO__ - В урока, който ми даде @backtolife пише така

Изглежда, все едно не си добавил хранилища. Как си с rpmfusion?

На мен пък ми се вижда, че го мързи и 2 не вижда. Дори не е прочел това, което му написах.

Прочетох всичко, даже редактирах /etc/yum.conf

http://www.sysgear.org/2009/09/update-cent-os-kernel-with-yum/

# yum upgrade kernel
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * addons: centos.skknet.net
 * base: centos.skknet.net
 * extras: centos.skknet.net
 * updates: centos.skknet.net
addons                                                   |  951 B     00:00     
base                                                     | 2.1 kB     00:00     
extras                                                   | 2.1 kB     00:00     
lxlabslxupdate                                           |  951 B     00:00     
lxlabsupdate                                             |  951 B     00:00     
updates                                                  | 1.9 kB     00:00     
Excluding Packages in global exclude list
Finished
Setting up Upgrade Process
No Packages marked for Update

Код:

yum upgrade kernel

# yum upgrade kernel
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * addons: centos.skknet.net
 * base: centos.skknet.net
 * extras: centos.skknet.net
 * updates: centos.skknet.net
Setting up Upgrade Process
No Packages marked for Update

Защо е "Спешно"

Защото искам да си ъпдейтна кернела при първа възможност.

Здравейте, на CentOS съм и ползвам кернела 2.6.18-194.26.1.el5 i686
Не мога да ъпдейтна до най-новата версия.

# yum -y update
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * addons: centos.skknet.net
 * base: centos.skknet.net
 * extras: centos.skknet.net
 * updates: centos.skknet.net
Setting up Update Process
No Packages marked for Update

Пробвах и с yum update kernel, но

# yum update kernel
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * addons: centos.skknet.net
 * base: centos.skknet.net
 * extras: centos.skknet.net
 * updates: centos.skknet.net
Setting up Update Process
No Packages marked for Update

Спешно

[ldd `type -p pure-ftpd`]

най-често причини могат да бъдат счупени пакети (например, ако си качил някоя библиотека с различна версия от тази, с която е компилиран pure-ftpd) – провери с ldd `type -p pure-ftpd` дали не липсва нещо;
друга евентуална причина може да бъде непълна среда, ако е заключен в chroot… тук ще трябва да се прегледа в ръководството кои файлове къде трябва да бъдат подсигурени че съществуват;
криви права на директориите, където работи услугата – пак ще трябва да се прочете в ръководството.

все пак бих ти препоръчал да отебеш pure-ftpd и да си ползваш openssh и като ftp. естествено, тъй като не знам точно за какво го ползваш може това да не ти върши напълно работа, но ако просто трябва някой да качва едни тъпи файлове, то несъмнено е по-добра алтернатива.
предимствата са несъмнени:
* криптираната връзка драматично повишава сигурността;
* поддържаш една услуга по-малко, а ssh така или иначе работи, нали?
* имаш и възможност дадени потребители да влизат само в зададена директория, chrooted login;

ето кратко ръководство как се прави последната точка в сусе, но е приложимо и за всички останали до известна степен:
http://en.opensuse.org/SDB:SFTP_server_with_Chroot

Здравей, проверих с командата, която ми каза и ми върна това

   linux-gate.so.1 =>  (0x00a0a000)
   libssl.so.6 => /lib/libssl.so.6 (0x00bdf000)
   libcrypto.so.6 => /lib/libcrypto.so.6 (0x007e0000)
   libcrypt.so.1 => /lib/libcrypt.so.1 (0x00969000)
   libdl.so.2 => /lib/libdl.so.2 (0x00744000)
   libpam.so.0 => /lib/libpam.so.0 (0x0786a000)
   libc.so.6 => /lib/libc.so.6 (0x004a2000)
   libgssapi_krb5.so.2 => /usr/lib/libgssapi_krb5.so.2 (0x00939000)
   libkrb5.so.3 => /usr/lib/libkrb5.so.3 (0x00110000)
   libcom_err.so.2 => /lib/libcom_err.so.2 (0x006e7000)
   libk5crypto.so.3 => /usr/lib/libk5crypto.so.3 (0x00a5e000)
   libresolv.so.2 => /lib/libresolv.so.2 (0x00923000)
   libz.so.1 => /usr/lib/libz.so.1 (0x0062d000)
   /lib/ld-linux.so.2 (0x00320000)
   libaudit.so.0 => /lib/libaudit.so.0 (0x0025a000)
   libkrb5support.so.0 => /usr/lib/libkrb5support.so.0 (0x00642000)
   libkeyutils.so.1 => /lib/libkeyutils.so.1 (0x006ec000)
   libselinux.so.1 => /lib/libselinux.so.1 (0x006cd000)
   libsepol.so.1 => /lib/libsepol.so.1 (0x00798000)

Не е заключен в chroot среда.
Правата на директориите са наред.
Не мога да сменя FTP сървъра, защото не ми се мисли как ще се оправям с kloxo.
Между другото, снощи по някое време успях да се кънектна към сървъра с един потребител, но все пак искам да оправя този проблем, за да не се появява в бъдеще.
Благодаря предварително

Здравейте, нещо pure-ftpd-то се бъзика.
При опит за вход с даден user ми изписва

Отговор: 530 Login incorrect
Грешка: Критична грешка
Грешка: Неуспешно свързване със сървър

Погледнах логовете и ето го проблема

Unable to start a standalone server: [Invalid argument]

Разглеждах из нета преди да питам тук, но не можах да си помогна
pure-ftpd-то го ползвам на kloxo с CentOS 5.5
Благодаря предварително.

Благодаря, оправих се.
Проблема е бил, че след тези неща, които съм правил по урока се е създал нов конфигурационен файл и там са се объркали нещата

Здравейте, следвах стъпките по този урок http://www.cyberciti.biz/tips/chroot-apache-under-rhel-fedora-centos-linux.html
Проблема ми е, че съм с kloxo (сайтовете се хостват от /home/*, а не от var/www/*) та нещо сега не ми отваря нито един сайт на хостинга.
Явно се е объркала конфигурацията в /etc/init.d/httpd файла ?