Автор Тема: Секюрити на CentOS + Kloxo(lighttpd(Cgi-fastcgi))  (Прочетена 5753 пъти)

xaxaxabew

  • Напреднали
  • *****
  • Публикации: 30
    • Профил
Здравейте,
Имам проблем със системната сигурност.
Използвам CentOS и на него съм инсталирал kloxo.
Кернела е 2.6.18-238.9.1.el5xen
Пуснал съм lighttpd, който работи с cgi-fastcgi и в него е включен chroot.
Проблемът е, че ако кача php shell в някой от потребителите, примерно /home/user.com/user.com/shell.php добивам достъп до цялата home директория и други ресурси.
Моля за съвети.
Благодаря предварително.
« Последна редакция: Apr 25, 2011, 22:13 от xaxaxabew »
Активен

xaxaxabew

  • Напреднали
  • *****
  • Публикации: 30
    • Профил
Re: Секюрити на CentOS + Kloxo(lighttpd(Cgi-fastcgi))
« Отговор #1 -: Apr 26, 2011, 19:23 »
Моля ви, спешно ми е.
Активен

b2l

  • Напреднали
  • *****
  • Публикации: 4786
  • Distribution: MCC Interim
  • Window Manager: - // - // -
  • ...sometimes I feel like screaming... || RTFM!
    • Профил
    • WWW
Re: Секюрити на CentOS + Kloxo(lighttpd(Cgi-fastcgi))
« Отговор #2 -: Apr 26, 2011, 19:33 »
Ами примерно в php.ini файла, го направи да изглежда така:
Код
GeSHi (INI):
  1. open_basedir = "/var/www/site:/usr/share/php:/tmp"
  2. disable_functions = "apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, disk_free_space, diskfreespace, dl, highlight_file, ini_alter, ini_restore, openlog, passthru, phpinfo, proc_nice, shell_exec, show_source, symlink, system, exec, fsockopen, popen, proc_open"
« Последна редакция: Apr 26, 2011, 19:37 от backtolife »
Активен

"Човекът е въже, опънато между звяра и свръхчовека, въже над пропаст. Човекът е нещо, което трябва да бъде превъзмогнато." - Фр. Ницше

vstoykov

  • Напреднали
  • *****
  • Публикации: 1286
  • Distribution: Ubuntu
  • Window Manager: Fluxbox
    • Профил
    • WWW
Re: Секюрити на CentOS + Kloxo(lighttpd(Cgi-fastcgi))
« Отговор #3 -: Apr 26, 2011, 20:10 »
Може да минеш на Apache + SuPHP. Така всеки потребител ще има достъп за запис само в своята директория. Обаче ще може да вижда какви други сайтове са хостнати.

Добра идея е да смениш порта на SSH и да изтриеш pure-ftpd и pure-ftpwho (трие се по грубия начин - преместваш файла някъде другаде или направо го триеш). И без това FTP не трябва да се ползва, има SSH за тази цел (sftp).

Постоянно гледах в логовете как някой се опитва да влезе през FTP и SSH и реших въпроса като махнах FTP-то и смених порта на SSH.
« Последна редакция: Apr 26, 2011, 20:14 от vstoykov »
Активен

xaxaxabew

  • Напреднали
  • *****
  • Публикации: 30
    • Профил
Re: Секюрити на CentOS + Kloxo(lighttpd(Cgi-fastcgi))
« Отговор #4 -: Apr 26, 2011, 22:13 »
Ами примерно в php.ini файла, го направи да изглежда така:
Код
GeSHi (INI):
  1. open_basedir = "/var/www/site:/usr/share/php:/tmp"
  2. disable_functions = "apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, disk_free_space, diskfreespace, dl, highlight_file, ini_alter, ini_restore, openlog, passthru, phpinfo, proc_nice, shell_exec, show_source, symlink, system, exec, fsockopen, popen, proc_open"
Проблемът е, че kloxo "презаписва" конфигурационните файлове.
Тоест, каквото и да променям по файловете, kloxo не отразява промените и фактически те не вършат никаква работа.
Може да минеш на Apache + SuPHP. Така всеки потребител ще има достъп за запис само в своята директория. Обаче ще може да вижда какви други сайтове са хостнати.

Добра идея е да смениш порта на SSH и да изтриеш pure-ftpd и pure-ftpwho (трие се по грубия начин - преместваш файла някъде другаде или направо го триеш). И без това FTP не трябва да се ползва, има SSH за тази цел (sftp).

Постоянно гледах в логовете как някой се опитва да влезе през FTP и SSH и реших въпроса като махнах FTP-то и смених порта на SSH.
Доскоро бях на Apache + SuPHP, не бях доволен.
Защо да махам FTP, какво правят потребителите на сървъра ми в случая ?

Става ли ако можете да дадете някой съвет за chroot jail, тъй като го има включен към lighttpd, който работи с cgi-fastcgi.
Активен

vstoykov

  • Напреднали
  • *****
  • Публикации: 1286
  • Distribution: Ubuntu
  • Window Manager: Fluxbox
    • Профил
    • WWW
Re: Секюрити на CentOS + Kloxo(lighttpd(Cgi-fastcgi))
« Отговор #5 -: Apr 26, 2011, 23:32 »
Вместо FTP се ползва SSH (sftp). На практика като интерфейс е същото, само че когато се свързваш пишеш sftp:// вместо ftp:// (ако разбира се файловият мениджър, който ползваш го поддържа). Разликата е, че при sftp се ползва криптиране.

http://bg.wikipedia.org/wiki/SFTP

http://www.google.bg/search?q=sftp+client

Активен

xaxaxabew

  • Напреднали
  • *****
  • Публикации: 30
    • Профил
Re: Секюрити на CentOS + Kloxo(lighttpd(Cgi-fastcgi))
« Отговор #6 -: Apr 26, 2011, 23:47 »
Вместо FTP се ползва SSH (sftp). На практика като интерфейс е същото, само че когато се свързваш пишеш sftp:// вместо ftp:// (ако разбира се файловият мениджър, който ползваш го поддържа). Разликата е, че при sftp се ползва криптиране.

http://bg.wikipedia.org/wiki/SFTP

http://www.google.bg/search?q=sftp+client
Имам си на представа какво е SFTP, ползвам го и съм доволен от него.
Проблемът е, че всеки потребител, който хоствам иска FTP, какво правим в случая ?
Мисля да пробвам този урок за chroot jail
http://www.cyberciti.biz/tips/chroot-apache-under-rhel-fedora-centos-linux.html
Но се чудя да не се "оака" нещо ?
Edit : пуснах Apache+SuPHP, някакви съвети за сигурност ?
« Последна редакция: Apr 27, 2011, 00:14 от xaxaxabew »
Активен

xaxaxabew

  • Напреднали
  • *****
  • Публикации: 30
    • Профил
Re: Секюрити на CentOS + Kloxo(lighttpd(Cgi-fastcgi))
« Отговор #7 -: Apr 28, 2011, 13:53 »
up
Активен