4
|
Сигурност / Системна Сигурност / Два въпроса за CentOS
|
-: Oct 30, 2011, 11:17
|
Здравейте, Първо искам да попитам как мога да сменя "+FollowSymLinks" на "SymLinksIfOwnerMatch" ? Разбрах, че тази промяна осигурява повече сигурност на уеб сървърите. Второто, което искам да попитам е можете ли да ми предложите защита от Slowloris за CentOS, както при Debian mod_qos ?
|
|
|
5
|
Сигурност / Системна Сигурност / SuPHP
|
-: May 27, 2011, 12:13
|
Здравейте, На CentOS съм и ползвам Kloxo. Пуснал съм SuPHP, но с php шел мога спокойно да листвам всички директории на сървъра ми от съответния юзър /home/user.com/user.com/shell.php Дали ще има начин да оправя тази дупка ?
|
|
|
7
|
Сигурност / Системна Сигурност / Re: Секюрити на CentOS + Kloxo(lighttpd(Cgi-fastcgi))
|
-: Apr 26, 2011, 23:47
|
Вместо FTP се ползва SSH (sftp). На практика като интерфейс е същото, само че когато се свързваш пишеш sftp:// вместо ftp:// (ако разбира се файловият мениджър, който ползваш го поддържа). Разликата е, че при sftp се ползва криптиране.
http://bg.wikipedia.org/wiki/SFTP
http://www.google.bg/search?q=sftp+client
Имам си на представа какво е SFTP, ползвам го и съм доволен от него. Проблемът е, че всеки потребител, който хоствам иска FTP, какво правим в случая ? Мисля да пробвам този урок за chroot jail http://www.cyberciti.biz/tips/chroot-apache-under-rhel-fedora-centos-linux.htmlНо се чудя да не се "оака" нещо ? Edit : пуснах Apache+SuPHP, някакви съвети за сигурност ?
|
|
|
8
|
Сигурност / Системна Сигурност / Re: Секюрити на CentOS + Kloxo(lighttpd(Cgi-fastcgi))
|
-: Apr 26, 2011, 22:13
|
Ами примерно в php.ini файла, го направи да изглежда така:
GeSHi (INI): open_basedir = "/var/www/site:/usr/share/php:/tmp" disable_functions = "apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, disk_free_space, diskfreespace, dl, highlight_file, ini_alter, ini_restore, openlog, passthru, phpinfo, proc_nice, shell_exec, show_source, symlink, system, exec, fsockopen, popen, proc_open"
Проблемът е, че kloxo "презаписва" конфигурационните файлове. Тоест, каквото и да променям по файловете, kloxo не отразява промените и фактически те не вършат никаква работа. Може да минеш на Apache + SuPHP. Така всеки потребител ще има достъп за запис само в своята директория. Обаче ще може да вижда какви други сайтове са хостнати.
Добра идея е да смениш порта на SSH и да изтриеш pure-ftpd и pure-ftpwho (трие се по грубия начин - преместваш файла някъде другаде или направо го триеш). И без това FTP не трябва да се ползва, има SSH за тази цел (sftp).
Постоянно гледах в логовете как някой се опитва да влезе през FTP и SSH и реших въпроса като махнах FTP-то и смених порта на SSH.
Доскоро бях на Apache + SuPHP, не бях доволен. Защо да махам FTP, какво правят потребителите на сървъра ми в случая ? Става ли ако можете да дадете някой съвет за chroot jail, тъй като го има включен към lighttpd, който работи с cgi-fastcgi.
|
|
|
10
|
Сигурност / Системна Сигурност / Секюрити на CentOS + Kloxo(lighttpd(Cgi-fastcgi))
|
-: Apr 25, 2011, 22:11
|
Здравейте, Имам проблем със системната сигурност. Използвам CentOS и на него съм инсталирал kloxo. Кернела е 2.6.18-238.9.1.el5xen Пуснал съм lighttpd, който работи с cgi-fastcgi и в него е включен chroot. Проблемът е, че ако кача php shell в някой от потребителите, примерно /home/user.com/user.com/shell.php добивам достъп до цялата home директория и други ресурси. Моля за съвети. Благодаря предварително.
|
|
|
12
|
Сигурност / Системна Сигурност / Re: Security на CentOS
|
-: Jan 11, 2011, 13:39
|
И в крайна сметка какво да предприема като защита. Пробвал съм да заключа с chroot директориите, но kloxo се срива от тази работа. Остана ми само да пусна suphp, но дали ще върши работа не казахте
|
|
|
13
|
Сигурност / Системна Сигурност / Re: Security на CentOS
|
-: Jan 10, 2011, 20:50
|
Достъпа на потребителите е чрез ftp, но chroot-ването му като цяло не ми върши много работа, защото те пак могат да си качат някой linux shell като php script и да изпълняват команди на сървъра. Иначе това за ftp-то ще видя дали мога да го направя.
|
|
|
15
|
Сигурност / Системна Сигурност / Re: Security на CentOS
|
-: Jan 10, 2011, 17:23
|
SELinux не беше пуснат. Пуснах го със следните параметри
# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - SELinux is fully disabled. SELINUX=enforcing # SELINUXTYPE= type of policy in use. Possible values are: # targeted - Only targeted network daemons are protected. # strict - Full SELinux protection. SELINUXTYPE=strict
# SETLOCALDEFS= Check local definition changes SETLOCALDEFS=0
Дали ще ми създаде някакъв проблем ? Как мога да тествам в случая дали е помогнал като защита ? Да изпробвам ли варианта със suphp ?
|
|
|
|