- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
myhand, так ведь оптом утечет все. несколько из сотни паролей окажут тривиальными и дальше уже на серче, как на могильной плите, напишут, что Xостер Х - говно.
что значит несколько из сотни? либо _все_ пароли стойкие - либо нет. если вы позволяете ставить паролями имя любимой кошки - ССЗБ.
Хранить учетки в ldap/mysql - не?
тоже вариант.
Вы спрашиваете чем оно хуже, а я напомнил чем. Вот и все.
Понятно, что на все есть свои методы обхода, но сути ответа это не меняет. Найдутся и такие хостеры, кто использует ldap, и кто, с целью минимизации обращений в техподдержку, рекомендует выбирать простые запоминающиеся пароли. Да мало ли чего на свете бывает. Предлагаю в дебри по этому вопросу не углубляться.
Я что-то не припоминаю систем блокирующих простые пароли в панелях управления (возможно потому что ставлю сложные). Зато регулярно встречаю пользователей, который хотят или меняют пароли на простые . Подскажите, в какой панели они, системы, есть из коробки ?
netwind, Сложные пароли ставят: Ispmanager, Kloxo, Directadmin, Cpanel.
Я что-то не припоминаю систем блокирующих простые пароли в панелях управления (возможно потому что ставлю сложные). Зато регулярно встречаю пользователей, который хотят или меняют пароли на простые . Подскажите, в какой панели они, системы, есть из коробки ?
kxk, +1
Есть модули для PAM, позволяющие придерживаться заданного режима криптостойкости пароля. Минимальный набор символов, длина, перебор по словарю и т.д. Панеленезависимое решение, так сказать - для passwd тоже будет работать.
kxk, эти панели вот так прямо не дают поставить простой пароль? какие пароли генерируются - вообще другой вопрос.
Еще с удовольствием послушаю как в собственную программу для авторизации в почте из directadmin прикрутить pam.
Определенно, читали. Запрет доступа к файлам других сайтов - реализуется для "не mod_php" - достаточно стандартными средствами. Каждому сайту - свой пользователь для скриптов. В чужой хом он не суется.
Что касается системных файлов типа /etc/passwd - тут либо ограничения внутри интерпретатора (типа open_basedir, если mod_php используется) либо chroot. Нужно ли возиться с организацией chroot на типовом виртуальном хостинге - хороший вопрос. Ну узнал я, что там написано
uXXXXX:x:1011:1011:,,,:/var/www/uXXXXX:/bin/false
uYYYYY:x:1012:1012:,,,:/var/www/uYYYYY:/bin/false
Много мне это дало?
Да в том то и дело что не читали. Человек спрашивал как не читать системные файлы, типа /etc/passwd
Ему ответили, что даже при дефолтной настройке, из системных файлов он ничего секретного не прочитает, но если все же он хочет их скрывать - тогда вобщем только chroot, или такие костыли как open_basedir, которые не всегда работают как надо.
А ему начали отвечать про suphp, fcgi, правильные права и т.п.
И напрашивается естественный вывод: или эти отвечающие не читали вопрос и ответы, или они не компетентны.
MIRhosting.com добавил 21.03.2010 в 02:42
Доступ к тому же /etc/passwd действительно даст не так много, просто список пользователей. Но на некоторых клиентов это наводит ужас, например, какое количество сотен клиентов висит у этого конкретного хостера на этом бедном сервере, конфиг которого впрочем также можно посмотреть в этом случае. Это может быть не в интересах хостера :)
Ну и потенциально могут быть проблемы с безопасностью, например, на файлы логов доступа или ошибок apache/nginx/что-то-еще часто ставяться такие права, которые позволяют туда читать всем пользователям.
"Конфигурация Apache по-умолчанию позволяет из корня одного сайта получать доступ к файлам других сайтов и к корню сервера. "
многим показалось, что "доступ к файлам других сайтов" и есть ключевая проблема. Если вы считаете, что это не так - мне жаль ваш хостинг.
"Конфигурация Apache по-умолчанию позволяет из корня одного сайта получать доступ к файлам других сайтов и к корню сервера. "
многим показалось, что "доступ к файлам других сайтов" и есть ключевая проблема. Если вы считаете, что это не так - мне жаль ваш хостинг.
Причем тут "наш хостинг"? И какое он имеет отношение к теме ТС?
Доступ к тому же /etc/passwd действительно даст не так много, просто список пользователей. Но на некоторых клиентов это наводит ужас, например, какое количество сотен клиентов висит у этого конкретного хостера на этом бедном сервере, конфиг которого впрочем также можно посмотреть в этом случае. Это может быть не в интересах хостера :)
Тогда только ldap/sql в качестве хранилища passwd. А что еще за "конфиг", который также можно посмотреть?
Ну и потенциально могут быть проблемы с безопасностью, например, на файлы логов доступа или ошибок apache/nginx/что-то-еще часто ставяться такие права, которые позволяют туда читать всем пользователям.
Ну может и нужно устранить в первую очередь эти проблемы? Не думаю, что костыль в виде chroot поможет от ошибок администрирования.
MIRhosting.com,
Да в том то и дело что не читали. Человек спрашивал как не читать системные файлы, типа /etc/passwd
помойму это Вы не читаете тему... я дал вполне конкретный ответ, что не понятного и не по теме я написал ?