- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Здравствуйте!
Имеется система CentOS 5, с панелькой ISP Lite. Если создать в панели юзера и на него повесить несколько сайтов, то владельцем файлов/директорий всех доменов будет наш созданный юзер.
Выходит если утащить доступ FTP от этого юзера, или же залить шелл на какой либо из сайтов этого юзера то доступ получается будет ко всем сайтам юзера.
Как можно от этого уйти, чтобы потолком при залитии шелла был только доступ к указанному сайту?
каждый домен изолировать юзером, или прибевать шелл, как уже упоминалось тем же Mod_Security прибить, но его надо настраивать, иначе вы прибейте всё =), можно ограничить safe_mode но сайты могут просто при включение его и ограничение опасных функций не работать.
каждый домен изолировать юзером
Не вариант под сотню-другую юзеров иметь
или прибевать шелл
Пока найдёшь могут ведь уже нашкодить
как уже упоминалось тем же Mod_Security прибить, но его надо настраивать
можно ограничить safe_mode но сайты могут просто при включение его и ограничение опасных функций не работать.
Спасибо за варианты, интересует существует ли что-нибудь ещё?
Выходит если утащить доступ FTP от этого юзера, или же залить шелл на какой либо из сайтов этого юзера то доступ получается будет ко всем сайтам юзера.
В ftp-демонах обычно есть возможность делать chroot для ftp юзеров. Это могут фактически все ftp-серверы.
В php для защиты от подобных угроз есть костыль под названием open_basedir. Правда не знаю, как это в ISP Lite применить, наверное только руками конфиг править.
Убрать деструктивные команды у шелла: vi, cat, rm, mv и так далее.
bugsmoran, ls - деструктивная команда? а ls > /etc/passwd ?
Убрать деструктивные команды у шелла: vi, cat, rm, mv и так далее.
И звените но это не правильно
Выходит если утащить доступ FTP от этого юзера, или же залить шелл на какой либо из сайтов этого юзера то доступ получается будет ко всем сайтам юзера.
Что-то я не пойму, чем вас данная ситуация не устраивает. Юзер должен иметь доступ ко всем своим директориям.
mod_security решает вопрос
Andreyka, mod_security - новый тренд этого сезона?
пока что я вижу как те, кто воспользовался вашим советом, вынуждены были отключить его, потому что тонкая настройка mod_security за гранью адекватных вложений времени и денег.
И она не помещает залить шелл из украденного аккаунта легального пользователя
Что-то я не пойму, чем вас данная ситуация не устраивает. Юзер должен иметь доступ ко всем своим директориям.
Юзер - да, но залитый шелл на какой либо из сайтов юзера не должен.
TAFF добавил 29.09.2010 в 13:39
В ftp-демонах обычно есть возможность делать chroot для ftp юзеров. Это могут фактически все ftp-серверы.
Спасибо, посмотрю