РекламаОпросПользуетесь ли вы услугами удаленных сисадминов? Да, постоянно 19% Да, если возникают какие-то проблемы 10% Нет, только запрашиваю консультации 24% Нет, вообще не пользуюсь 43% Свой вариант, напишу в комментариях 5% Всего голосов: 21 Статистика
Спонсоры сайта
Предлагаем онлайн мужские журналы читать на нашем сайте. ; Весь монтаж скс смета и многое другое повышает стабильность работы компании в целом.
ПоискВход для пользователейНавигацияСбор новостей |
Защищаем сервер от взлома через uploadВ последнее время развелось множество любителей взлома через директорию upload, которые взламывают соседей по серверу. Немного теории о том, как это происходит и как от этого защититься. Злоумышленник размещает на сервере свои скрипты, которые получают список домашних директорий пользователей и начинают поиск директорий для upload, где разрешена запись всем. Защита от подобных действий так же проста, как и сама уязвимость, - достаточно запретить запуск скриптов в таких директориях. Однако пользователи этого не делают. Для решения этой проблемы нами был разработан и протестирован на FreeBSD следующий скрипт, который рекурсивно обходит пользовательские директории и создает .htaccess файл, отключающий исправление скриптов:
htaccess () { RemoveType php fixupload () { cd $HOME Вам нужно только изменить значение двух переменных, указав расположение домашних директорий пользователей и пользователя, из-под которого запускается веб-сервер Apache.
|
AdsПоследние комментарии
Сейчас на сайтеСейчас на сайте 0 пользователей и 40 гостей.
|
А собрать апач с
А собрать апач с поддержкой suexec разве не решает такие проблемы?
Решает, но созда
Решает, но создает две новые - возможность доступа ко всему диску и повышенное потребление ресурсов.
а safemode?
а safemode?
Тогда уже проще
Тогда уже проще вообще php убрать :)
Это не проблема ;)
Возможность доступа ко всему диски в *nix решена изначально. На сервере нет доступа на запись для обычных юзеров.
А касетельно доступа на чтение, например, /etc - так их можно и через перл прочитать.
Реально проблемой является некоторое снижение производительности...
В случае mod_php - з
В случае mod_php - запись на диск есть. В случае phpsuexec записи на диск нет, но производительность значительно падает.
на самом деле за
на самом деле запись разрешена в /tmp например :)
Да и вообще следить за всем диском сложно. На секлабе проскакивают иногда сообщения о неправильной установке прав на файл/директорию в каком-нибудь из пакетов. Поставишь так какой-нибудь пакет (или с исходников соберешь что-то), а там в какой-нибудь подпапке /var/ запись для всех установлена. Вот и всё, забьет хакер весь раздел мусором, а последствия - почта не принимается, логи не пишутся...
Тут надо весь апач в чрут ложить, и так в любом случае надо делать, я думаю - оно так правильней.
А производительность? Я не замерял, но по идее кэш должен частично решать эту проблему. И к тому же процессы апача не будут так жиреть, как при mod_php. Так что тут х.з. на сколько копеек выигрывает mod_php у suexec :=)
О том, что есть п
О том, что есть по крайней мере два способа запретить запуск чего-либо в /tmp Вы наверно незнаете. О том, что есть масса скриптов и утилит, которые занимаются поиском и устранением неправильных прав на директории и файлы - вероятно тоже.
Апач в чрут незачем ложить - это одна из первых ошибок, которую совершают начинающие.
Кеш не решит проблему, вся проблема - в исполнении скриптов. На которые mod_php берет значительно меньше ресурсов чем phpsuexec.
А сравнить потерю производительности очень просто - поставим две любые одинаковые cms на сервер с mod_php и phpsuexec, затем запустим бенчмарк - преимущество явно не в пользу phpsuexec, так как на каждый коннект запускается php который весит куда больше чем apache с mod_php
> О том, что есть
Запись в /tmp можно запретить с помощью openbasedir директивы, установив в качестве временной диретктории $HOME/tmp
Апач чрутить просто нет смысла, это будет только лишняя трата ресурсов.
После запуска срипта!
После запуска срипта срипт запускается
server1# ./upload.cgi
'
там де ' значит он стоит ну ка бы выполняется и виснит и так он стоит очень долго в Home очень много юзеров более 300 это может быть из-за этого?
Ждал 3 часа но на так и не закончилась!
Ждите, он провер
Ждите, он проверяет все директории пользователей
На линухе єтот с
На линухе єтот скрипт не работает :(
Работает. Испол
Работает. Используйте bash в качестве shell'a
Прошу объяснить
Прошу объяснить как запретить запуск скриптов из директории /tmp на linux
До меня не доходит. Часто вижу, как у меня в /tmp от имени апача запущены скрипты для шелла. висят, пока вручную их не удалю придя на работу.
Смонтировать /tmp
Смонтировать /tmp с nosuexec, поставить grsecurity и установить TPE для пользователя apache.
Самое надежное - заказать basic security у esupport.org.ru - это стоит всего 50$ и решает более широкий комлекс задач чем запрет запуска из /tmp
про запуск из /tmp
про запуск из /tmp имелось ввиду? nosuid,noecxec на раздел? Ок, а в чем проблема хакеру найти директорию куда он может записать свой скрипт, это же проще простого найти свою же директорию от которой работает апач просто указываем "~httpd/" (если апач стартует от httpd). Далее, он размещает туда свой скрипт и оттуда его запускает. И никакой /tmp даром не нужен.
После чего мы зн
После чего мы знаем откуда ноги растут. А в случае с tmp - нет.