- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
При чем тут chroot, когда у пользователя воруют пароль ?
Расскажите как вы это делаете для шаред хостинга ?
а я писал за chroot не к воровству паролей читайте тему.
Абсолютно не обоснованно.
Все что пользователь может сделать через ssh, он может сделать через cgi, крон и т.д.
babiy, CloudLinux на ispmanager работает хорошо включая securelve
Из минусов то что пока не готов плагин для управления прямо из ISPmanager.
Также к середине месяца должен быть выпущен релиз в котором будут работать ограничения на память.
Вам в любом случае рекомендую выполнить резервное копирование и переустановить ОС, либо просто перенести данные на другой сервер, если он заказан как Dedicated. В этом случае будет меньше спешки и все можно спокойно настроить и перенести.
Юзеру не зачем ssh,всё он можетс делать с под cron - cgi но это всё будет работать с под юзера,и с теми ограничениями которые мы сделаем.
Ну и естественно слова myhand должен быть админ, 100% на шареде,без админа дело гиблое.
madoff добавил 01.02.2011 в 14:58
подведя итог ,можно выжать следующее, на 100% это конечно не спасет, но затруднит работу хакера в разы.
установка suPHP или SuExec , убрать mod_include из php, отключить SSI, Perl если не юзается, /tmp и папку с сайтами в отдельные разделы с флагом noexec, в php.ini задизейблить функции выполнения системных комманд, установить Suhosin и настроить его на максимальную защиту, которую только возможно(разумеется чтобы скрипты остались рабочими).
поставить на папку каждого юзера права drwx------ с папок с сайтами, это не даст перемещатся вольяжно по серверу.
+логирование POST данных.
и в кроне поиск самых типичных шеллов.
Suhosin - Если включить на максимальную защиту то масса скриптов погибнут страшной смертью =)
Грамотный ответ, это "закрыть пользователям FTP"?
Я не писал такую фразу, так что будьте любезны: либо цитировать нормально - либо убрать кавычки. За тараканов в Вашей голове я не отвечаю.
ssh не дают уже многие, и верно делают. для обычного хостенга он не нужен.
Для обычного хостинга как раз ftp - не нужен. Поплюются немного, но если документация хорошая - освоят sftp без проблем. Зато вирусня лезть больше не будет.
Ну, крайне надеюсь, что Вы всерьез восприняли совет о переустановке сервера с нуля. Хотя фраза во множественном числе
постараюсь поработать с админами придложившими здесь свои услуги
установка suPHP или SuExec , убрать mod_include из php, отключить SSI, Perl если не юзается, /tmp и папку с сайтами в отдельные разделы с флагом noexec, в php.ini задизейблить функции выполнения системных комманд, установить Suhosin и настроить его на максимальную защиту, которую только возможно(разумеется чтобы скрипты остались рабочими).
... Школу закончить - самое первое.
поставить на папку каждого юзера права drwx------ с папок с сайтами, это не даст перемещатся вольяжно по серверу.
Апачу не даст? (Мы-то помним про Ваш совет с suPHP/suexec).
логирование POST данных.
О да! Будем читать на ночь?
myhand
Ну, крайне надеюсь, что Вы всерьез восприняли совет о переустановке сервера с нуля. Хотя фраза во множественном числе
Вот, втом то и дело что поплються. Я всё одобряю, моя бы воля, но воля ещё и клиентов, вот поэтому на популярных хостингах есть фтп, что бы не было вопросов " а как это сделать через тотолкомандер"
--
Поповоду переустановки, не чего не знаю, не смотрел, но думаю если там имеет место root, то да процесс не измежен, реформата.
Вот, втом то и дело что поплються. Я всё одобряю, моя бы воля, но воля ещё и клиентов, вот поэтому на популярных хостингах есть фтп, что бы не было вопросов " а как это сделать через тотолкомандер"
Отвечать - "А сделать это так: <туто ссылко к документации>". Сложно?
Это конечно тоже временная мера. Пройдет время - наклепают sftp клиентов, которые умеют хранить пароль в plain-text и/или вирусни, которая собирает беспарольные ключи и ломится потом с ними на хостинг. Зато в сухом остатке все-равно получите защищенное соединение для передачи файлов.
myhand
маркетинг - ещё, есть рекламные агенства, админ теряет решение, когда сверху есть директор. клиент должен быть доволен. и неипёт.
А иначе будет: С НОЯБРЯ 2007 ГОДА, НЕЕДИНОГО РАЗРЫВА - и пох на ту ссылку с пояснением.
Это конечно тоже временная мера. Пройдет время - наклепают sftp клиентов, которые умеют хранить пароль в plain-text и/или вирусни, которая собирает беспарольные ключи и ломится потом с ними на хостинг. Зато в сухом остатке все-равно получите защищенное соединение для передачи файлов.
Единоразовые ssh ключи спасут ситуацию. И дадут гемора клиентам.
Юзеру не зачем ssh,всё он можетс делать с под cron - cgi но это всё будет работать с под юзера,и с теми ограничениями которые мы сделаем.
Если человек хочет ssh, нет повода, чтобы отказать ему.
Жирным можно не писать, видно и так.
Единоразовые ssh ключи спасут ситуацию. И дадут гемора клиентам.
Нужно будет удвоить штат сотрудников ТП первого уровня )
Из всего вышесказанного меня прельщают несколько вещей:
1. уйти от mpm-itk в сторону suPHP (так как это реализовано в сипанель)
2. очень интересное решение с mod_security почитал в принципе решает многое
3. отдельные разделы в noexec (тут можно разгулятся вплоть до отдельного раздела каждому юзеру, так как всё крутится на лвм и такое сделать можно, ну не уверен что реально это автоматизировать средствами исп манагера)
4. ssh я никому не даю, да и никто не просит, фаерволом я его закрыл полностью для всех кроме своего апи адреса
что касается переустановки то тут как бы есть проблема , так как сервера свои и пересесть на что то не очень реально, можно погемороятся и скинуть всех на несколько вдсок или на одну даже на время реинстала, ну конечно крайне не хотелось бы сейчас таких жёстких действий, сервер хоть и не полон но сайтов много .... хотя понимаю риск и вероятно что то попробую предпринять в этом направлении.
1. уйти от mpm-itk в сторону suPHP (так как это реализовано в сипанель)
а смысл?
на mpm-itk можна прикрутить eaccelerator, на mod_suphp - нет. тупо меньше можно продать хостинга при одинаковых условиях.
cyber2 добавил 01.02.2011 в 22:34
ps а поддерживает ли Ваша панель mod_suphp? :)
cyber2 добавил 01.02.2011 в 22:52
http://dobryjhosting.ru/phpinfo.php
я извиняюсь, но у Вас ядро
ему сто лет в обед, и есть куча уязвимостей, для повышения привилегий
ссылочка слегка не та , это отдельный сервер под биллинг а шеред инфо вот тут можно посмотреть http://dobrohost.net/info.php хотя сути не меняет ядра одинаковые