Форум: Servers & Services
Тема: Сигурност на Апаче и PHP
Автор: nedko

Мнение от nedko пуснато на Август 09 2008, 16:41
Използвам последните версии на Апаче и ПХП върху Убунту 8.04.

Ползвам машината за лични нужди + качени два лични сайта.
Проблема е, че когато потребител от единия сайт си инсталира някакъв скрипт за работа с файловете той не се ограничава то неговата си директория, а до главната, което... не е приятно.
Въпросът ми е как мога да огранича потребителите до техните си директории.
Благодаря и лек ден.
Мнение от boiko_tri пуснато на Август 09 2008, 17:25
нещо не ти разбрах добре вапроса ? я дай нещо по конкретно
Мнение от gog пуснато на Август 10 2008, 18:24
ограничаване до директориите на потребителите трябва да го направиш във всеки сървис който пускаш
ако пускаш SSH сървър трябва да го конфигурираш там
ако пускаш FTP сървър трябва да го конфигурираш и там
ако пускаш HTTP сървър трябва да го конфигурираш и там и т.н.

за информация как се прави това нещо за всеки сървис се обърни към документацията на конкретното приложение което използваш.
Мнение от nedko пуснато на Август 10 2008, 19:51
Цитат: (gog @ Август 10 2008, 18:24)

ограничаване до директориите на потребителите трябва да го направиш във всеки сървис който пускаш
ако пускаш SSH сървър трябва да го конфигурираш там
ако пускаш FTP сървър трябва да го конфигурираш и там
ако пускаш HTTP сървър трябва да го конфигурираш и там и т.н.

за информация как се прави това нещо за всеки сървис се обърни към документацията на конкретното приложение което използваш.

Ще пускам само фтп + директория в апачето. ССХ няма да давам.
А как да огранича това? Ако сте така любезни да ми отговорите разбира се.
Мнение от quintessence пуснато на Август 10 2008, 20:00
< http://forums.linux-index.org/index.cgi?act=ST;f=40;t=1853 >
Мнение от nedko пуснато на Август 12 2008, 15:07
Цитат: (quintessence @ Август 10 2008, 20:00)

< http://forums.linux-index.org/index.cgi?act=ST;f=40;t=1853 >

Благодаря, но това съм го реализирал чрез proftpd.
Въпроса ми беше по-скоро как мога да задам по-стриктни права на апаче и да заключа потребителите им по къщите да не гледат много много какво става по другите директории :)
Мнение от gog пуснато на Август 12 2008, 15:11
virtual hosts + suexec
Мнение от nedko пуснато на Август 12 2008, 15:25
Цитат: (gog @ Август 12 2008, 15:11)

virtual hosts + suexec

Четах аз малко за suexec, но много ми е объркано. Има ли някакъв български tutorial за него?
Мнение от boiko_tri пуснато на Август 12 2008, 17:45
sudo adduser <username> www-data за /var/www/*
sudo useradd testuser -d /var/www -s /bin/false
vi /etc/php5/apache2/php.ini намираш  disable_functions = dl,passthru,popen,proc_get_status,proc_nice,proc_open,proc_terminate,proc_close, phpinfo, exec
и добавяш тези редове  до тук 3 неща за
ssh промени конфа да не е порт 22 и само един юсер да може да влиза в ssh + това роот да не може
сига немога се сетя за ощи понеже работния ден ми сварши :) питай altoas . той ги чатка повече от мен
а сетих се още
# bind-address          = 127.0.0.1
махни отметката да слуша само от localhost
когато адаш юсер му давай права само за базата данни която ще ползва .. и за никаде другаде


Мнение от altoas пуснато на Август 13 2008, 10:45
на апа4ето малко трудно ще му забраниш да не вижда "/", има само един вариант и се казва chroot, но до сега не съм търсил конкретно дали apache може да се chroot-не, тъйкато apache ползва доста модули, php, mysql, които също трябва да chroot-ваш и в крайна сметка ще тр. да chroot-неш цял сървър..
но от друга страна не може да няма такава опция, все пак всички свестни хостнинг доставчици предоставят т.н. шернат хостинг. потърси как е решен въпросът при cpanel, без да се налага да го купуваш, потърси и дали може да се заключи apache в chroot, всички останали решения не отговарят на изискването ти
Мнение от nedko пуснато на Август 13 2008, 14:26
Цитат: (altoas @ Август 13 2008, 10:45)

на апа4ето малко трудно ще му забраниш да не вижда "/", има само един вариант и се казва chroot, но до сега не съм търсил конкретно дали apache може да се chroot-не, тъйкато apache ползва доста модули, php, mysql, които също трябва да chroot-ваш и в крайна сметка ще тр. да chroot-неш цял сървър..
но от друга страна не може да няма такава опция, все пак всички свестни хостнинг доставчици предоставят т.н. шернат хостинг. потърси как е решен въпросът при cpanel, без да се налага да го купуваш, потърси и дали може да се заключи apache в chroot, всички останали решения не отговарят на изискването ти

Благодаря за отговорите.
А не може ли да заключа всеки потребител в собствената му директория? Възможно ли е това?
Мнение от boiko_tri пуснато на Август 13 2008, 15:45
ftp  подребител  ? или някяй друг
Мнение от nedko пуснато на Август 13 2008, 15:46
Цитат: (boiko_tri @ Август 13 2008, 15:45)

ftp  подребител  ? или някяй друг

За апачето говорих. Фтп-то го оправих вече :)
Мнение от boiko_tri пуснато на Август 13 2008, 17:25
и на мен ми е интересно това :) ще се радвам някой да каже как става номера :)
Мнение от altoas пуснато на Август 14 2008, 17:56
apache е демон, стартира се за препоръчване като обикновен потребител, на всяка дистрибуция е рзличен. няма как да ограничиш потребителя, можеш да ограничиш демона, това важи въобще за unix. в някаква степен selunux, ограничава и демона и потребителя, но да ти го обясня не мога. можеш да заключиш демона в определена папка и той да не вижда нищо извън нея, стига да не го стартираш като root. но за апа4е до сега chroot, не съм срещал. ако не искаш да ти качват скриптове, чрез които да ти гледат папките, да ти пишат и т.н. можеш да използваш доста методи, chmod, да забраниш системни команти за апа4е, но ... най - удачният е да заключиш апа4е.
Мнение от nedko пуснато на Август 14 2008, 19:49
Цитат: (altoas @ Август 14 2008, 17:56)

apache е демон, стартира се за препоръчване като обикновен потребител, на всяка дистрибуция е рзличен. няма как да ограничиш потребителя, можеш да ограничиш демона, това важи въобще за unix. в някаква степен selunux, ограничава и демона и потребителя, но да ти го обясня не мога. можеш да заключиш демона в определена папка и той да не вижда нищо извън нея, стига да не го стартираш като root. но за апа4е до сега chroot, не съм срещал. ако не искаш да ти качват скриптове, чрез които да ти гледат папките, да ти пишат и т.н. можеш да използваш доста методи, chmod, да забраниш системни команти за апа4е, но ... най - удачният е да заключиш апа4е.

А тогава хостинг доставчиците как заключват всеки потребител за своята си папка?
Иначе с chmod не ме устройва, защото и другите скриптове изискват специфични привилегии.
Мнение от boiko_tri пуснато на Август 15 2008, 12:43
cpanel 1600 leva :) това е там играят скриптове
Powered by ikonforums 1.0.0 © 2006 ikonforums