- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Всем привет. Относительно недавно столкнулся с проблемой заливки шелла через один из моих сайтов и размещение вредного кода на все остальные мои сайты, которые расположены на одном VDS. И возник вопрос о правильных правах доступа к файлам и папкам. Я далеко не специалист, поэтому понимаю систему следующим образом - для меня существуют три пользователя:
- root
- username
- apache
На сайты захожу через ФТП под именем username и заливаю файлы сайтов, которые соответственно создаются под именем и группой username
Аппач же в свою очередь работает от имени apache и создаёт файлики от имени и группы apache
Но эти созданные файлики я не могу удалить через ФТП, и для решения этой проблемы я нашёл статью, где написано, что нужно просто apache добавить в группу username
Я сделал это и возник вопрос - а почему нельзя было вместо этого просто открыть файл httpd.conf и заменить строки:
User apache
Group apache
на
User apache
Group username
1. Есть ли разница между таким изменением в httpd.conf и добавлением apache в группу username?
2. В свете главной проблемы и защиты от действий загруженных шеллов - как сделать так, чтобы аппач не мог перезаписывать и удалять уже существующие файлы, которые были созданы от имени username?
заливки шелла через один из моих сайтов и размещение вредного кода на все остальные мои сайты
Для каждого сайта - свой username
http://httpd.apache.org/docs/2.2/suexec.html
ТС используйте apache mpm-itk либо apache+mod_fcgi - сайты будут работать от имени пользователей
кроме itk/fcgi/cgi надо еще и грамотно все настроить, если нужна безопасность.
как сделать так, чтобы аппач не мог перезаписывать и удалять уже существующие файлы, которые были созданы от имени username?
По дефолту при mod_php он этого и не может, пермишены у файлов 644.
Для каждого сайта - свой username
Огогошки. Это конечно очень неудобно, но как вариант попробовать.
ТС используйте apache mpm-itk либо apache+mod_fcgi - сайты будут работать от имени пользователей
Да я сейчас в конфиге прописал, что аппач работает от имени аппача, а не от моего имени.
кроме itk/fcgi/cgi надо еще и грамотно все настроить, если нужна безопасность.
По дефолту при mod_php он этого и не может, пермишены у файлов 644.
Т.е. достаточно правильно указать права доступа к файлам и всё? Кстати, как на счёт первого вопроса кто сможет ответить и желательно объяснить.
Лучше наймите администратора. Работа разовая. Один раз вам настроят и будете любоваться.
На сайты захожу через ФТП под именем username и заливаю файлы сайтов, которые соответственно создаются под именем и группой username
Аппач же в свою очередь работает от имени apache и создаёт файлики от имени и группы apache
Но эти созданные файлики я не могу удалить через ФТП
Странно, у таких файлов по дефолту должны быть пермишены 777 (и владелец apache:apache).
Т.к. такими файлами владеет группа apache, то это не поможет.
Настройте, что бы пользователь апач мог писать только в ту папку в которую нужна загружать файлы пользователей.
Во все остальные папки апач не должен иметь прав на запись и на просморт списка файлов в каталогах.
Настройте, что бы пользователь апач мог писать только в ту папку в которую нужна загружать файлы пользователей.
Во все остальные папки апач не должен иметь прав на запись и на просморт списка файлов в каталогах.
Это поможет от действия залитых шеллов? Они ведь получается будут созданы от имен апача? Это какие права нужно ставить на папки 710 правильно?