The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"о безопасности WEB-сервера"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"о безопасности WEB-сервера"
Сообщение от MayVortex emailИскать по авторуВ закладки on 10-Дек-03, 16:16  (MSK)
Приветствую!

Ситуация такая: есть WEB-сервер, на котором хостятся 2000 человек. В папки свои попадают по ФТП. Я стараюсь как можно больше сделать для безопасности их данных, но есть одна загвоздочка...

Устанавливая сервер (FTP+apache под RedHat) я упрятал его + то, что необходимо (PHP/Perl/MySQL) в chroot, а его положил на отдельный диск (параноик :)), вот так:
/mnt/
->apache
->ftp
->home
->/user1/
->/user2/

При работе по ФТП человек попадает в свою папку и никуда выше поднятся не может. Из скриптов добраться до системных папок они не могут(chroot) => не могу утащить консольный root... Для Perl'а я установил прогу, которая запускает скрипты юзеров из под их UID&GID => читать скрипты друг друга они не могут. PHP настроен так, что дальше юзерской папки ничего не видит... И вот тут начинаются проблемы: так как PHP запускается из под UID-GID апача скрипты должны быть доступны на чтение ВСЕМ => ВСЕ из перловых скриптов могут прочитать скритпы всех - не радостно :(

На ум приходит два сценария: сделать так, чтобы PHP скрипты запускались из под UID/GID юзера или сделать так, чтобы PERL как и PHP не мог выбраться за рамки юзерской папки... Только вот как это сделать я даже не представляю - подскажите плиз!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "о безопасности WEB-сервера"
Сообщение от dev emailИскать по авторуВ закладки on 11-Дек-03, 02:15  (MSK)
>На ум приходит два сценария: сделать так, чтобы PHP скрипты запускались из
>под UID/GID юзера или сделать так, чтобы PERL как и PHP
>не мог выбраться за рамки юзерской папки... Только вот как это
>сделать я даже не представляю - подскажите плиз!

1. Посмотри perchild для apache2
2. Можно запускать php как cgi, т.е. так же, как и perl
3. Для каталогов userNN установи ту группу, от которой работает апач. и чтоб в ней был только он. права на каталоги - 770. внутри каталогов - все 666 и 777.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "о безопасности WEB-сервера"
Сообщение от MayVortex emailИскать по авторуВ закладки on 11-Дек-03, 11:06  (MSK)
>2. Можно запускать php как cgi, т.е. так же, как и perl
А можно об этом поподробней? Или где можно об этом почитать?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "о безопасности WEB-сервера"
Сообщение от dev emailИскать по авторуВ закладки on 11-Дек-03, 22:47  (MSK)
>>2. Можно запускать php как cgi, т.е. так же, как и perl
>А можно об этом поподробней? Или где можно об этом почитать?

Ну, например, здесь:
https://www.opennet.ru/tips/info/370.shtml

только сразу видно новые проблемы:
по первому способу - огромная дыра в безопастности - интерпретатор лежит в каталоге скриптов. нужно как-то закрывать.
по второму способу - надо редактировать все скрипты.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру