Изпечатай

[xaxaxabew]

Здравейте,
Имам проблем със системната сигурност.
Използвам CentOS и на него съм инсталирал kloxo.
Кернела е 2.6.18-238.9.1.el5xen
Пуснал съм lighttpd, който работи с cgi-fastcgi и в него е включен chroot.
Проблемът е, че ако кача php shell в някой от потребителите, примерно /home/user.com/user.com/shell.php добивам достъп до цялата home директория и други ресурси.
Моля за съвети.
Благодаря предварително.

[xaxaxabew]

Моля ви, спешно ми е.

[b2l]

Ами примерно в php.ini файла, го направи да изглежда така:

Код

GeSHi (INI):
open_basedir = "/var/www/site:/usr/share/php:/tmp"
disable_functions = "apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, disk_free_space, diskfreespace, dl, highlight_file, ini_alter, ini_restore, openlog, passthru, phpinfo, proc_nice, shell_exec, show_source, symlink, system, exec, fsockopen, popen, proc_open"

[vstoykov]

Може да минеш на Apache + SuPHP. Така всеки потребител ще има достъп за запис само в своята директория. Обаче ще може да вижда какви други сайтове са хостнати.

Добра идея е да смениш порта на SSH и да изтриеш pure-ftpd и pure-ftpwho (трие се по грубия начин - преместваш файла някъде другаде или направо го триеш). И без това FTP не трябва да се ползва, има SSH за тази цел (sftp).

Постоянно гледах в логовете как някой се опитва да влезе през FTP и SSH и реших въпроса като махнах FTP-то и смених порта на SSH.

[xaxaxabew]

Ами примерно в php.ini файла, го направи да изглежда така:

Код

GeSHi (INI):
open_basedir = "/var/www/site:/usr/share/php:/tmp"
disable_functions = "apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, disk_free_space, diskfreespace, dl, highlight_file, ini_alter, ini_restore, openlog, passthru, phpinfo, proc_nice, shell_exec, show_source, symlink, system, exec, fsockopen, popen, proc_open"

Проблемът е, че kloxo "презаписва" конфигурационните файлове.
Тоест, каквото и да променям по файловете, kloxo не отразява промените и фактически те не вършат никаква работа.

Може да минеш на Apache + SuPHP. Така всеки потребител ще има достъп за запис само в своята директория. Обаче ще може да вижда какви други сайтове са хостнати.

Добра идея е да смениш порта на SSH и да изтриеш pure-ftpd и pure-ftpwho (трие се по грубия начин - преместваш файла някъде другаде или направо го триеш). И без това FTP не трябва да се ползва, има SSH за тази цел (sftp).

Постоянно гледах в логовете как някой се опитва да влезе през FTP и SSH и реших въпроса като махнах FTP-то и смених порта на SSH.

Доскоро бях на Apache + SuPHP, не бях доволен.
Защо да махам FTP, какво правят потребителите на сървъра ми в случая ?

Става ли ако можете да дадете някой съвет за chroot jail, тъй като го има включен към lighttpd, който работи с cgi-fastcgi.

[vstoykov]

Вместо FTP се ползва SSH (sftp). На практика като интерфейс е същото, само че когато се свързваш пишеш sftp:// вместо ftp:// (ако разбира се файловият мениджър, който ползваш го поддържа). Разликата е, че при sftp се ползва криптиране.

http://bg.wikipedia.org/wiki/SFTP

http://www.google.bg/search?q=sftp+client

[xaxaxabew]

Вместо FTP се ползва SSH (sftp). На практика като интерфейс е същото, само че когато се свързваш пишеш sftp:// вместо ftp:// (ако разбира се файловият мениджър, който ползваш го поддържа). Разликата е, че при sftp се ползва криптиране.

http://bg.wikipedia.org/wiki/SFTP

http://www.google.bg/search?q=sftp+client

Имам си на представа какво е SFTP, ползвам го и съм доволен от него.
Проблемът е, че всеки потребител, който хоствам иска FTP, какво правим в случая ?
Мисля да пробвам този урок за chroot jail
http://www.cyberciti.biz/tips/chroot-apache-under-rhel-fedora-centos-linux.html
Но се чудя да не се "оака" нещо ?
Edit : пуснах Apache+SuPHP, някакви съвети за сигурност ?

[xaxaxabew]

up