так в этом и есть основная цель защитить сам сервер от возможных действий злоумушленика загрузившего шелл, а сайты сложно защитить так как даже при очень хорошем документировании находятся те кто выставят права 777 на весь домен, и троянов достаточно много которые способны увести пасс от фтп клиента что уже даст возможность загрузки шелла, как тут сказали выше нужно сделать так что бы загруженный шелл если и нанёс вред (что тоже крайне не желательно) то исключительно в пределах директорий принадлежащих юзеру.
Вы знаете , ориентироваться в написанном выше где пошла перепалка, по внутренним убеждениям каждого, стало очень сложно, так что прошу извинить если что-то и не заметил!
А вот делать выводы насчёт оборота компании, я думаю Вы не вправе, да и некорректно это, на админа деньги есть, только удалённого админа (как и сотрудников ТП) у меня лично не будет (по причине того , что наелся уже) и разовые спецы меня не очень устраивают, поэтому и админ и ТП будут набираться в моём городе (и оставьте пожалуйста право принятия решения о своевременности принятия сотрудников в штат за мной!)
И вопросы тут я буду задавать и пытаться что -то понять и применить даже при наличии админа в штате, так как считаю что я должен иметь понятие в данных вопросах, что бы иметь возможность более квалифицировано управлять своей компанией.
babiy добавил 04.02.2011 в 18:35
А за дельные советы огромное спасибо, буду пробовать на отдельном сервере, если результат меня устроит , переинсталлирую сервер и применю данный вариант на нём.
ну а вообще в практике применялось нечто подобное в варианте шеред хостинга?
Прошу модераторов закрыть тему, так как в текущей перепалке что то полезное уже не подчерпнуть!
вот этот вариант очень уж мне понравился и по моему мнению (возможно ошибочному) закроет проблему , или почти закроет, но конечно же хочется понимать чем это чревато, прошу прокомментировать именно вариант использования grsec kernel на Centos , есть ли те кто применял такое решение именно на шеред хостинге и насколько это усложняет администрирование?
Самое удивительное что пользовательские папки с правами 777 он и не показал в выборке точнее он вообще ничего не показал в папке /var/www он показал папки сервера и то не все в основном /var/log /proc и ещё некоторые.....
grsec kernel а в целом для юзеров это не отразится ничем?
babiy добавил 04.02.2011 в 11:55
описание нашёл
http://www.samag.ru/cgi-bin/go.pl?q=articles;n=09.2004;a=09
очень даже ничего так, ну только как вижу основной гемор в том что бы прописать всем системным юзерам соответствующие разрешения, и скажем так установка новых пакетов как бы потребует не простого yum install а ещё потребует дать соответствующие разрешения для группы, или я что то не так понял?
babiy добавил 04.02.2011 в 12:17
нашёл ман инсталляции на Centos
http://blog-admina.ru/2009/11/%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-kernel-2-6-27-10-%D0%B8-iptables-1-4-2-%D0%B8%D0%B7-%D0%B8%D1%81%D1%85%D0%BE%D0%B4%D0%BD%D0%B8%D0%BA%D0%BE%D0%B2-%D0%B4%D0%BB%D1%8F-linux/
создам вдсочку и буду тренироваться что покажет что бы потом накрутить на работающую машинку.
Вобщем раскопал я тот злосчастный шел который залили, штучка прикольная))) поставил потестил, в режиме safe mode не работает совсем, а вот без него работает ну не полностью, например позволяет просмотреть директории другие (но не позволяет что то в них писать) и читать файлы не позволяет, список процессов может показать (но не позволяет что то с ним делать) порты открытые показует, но опять таки не позволяет с ними работать через этот скрипт, проанализировав код понял что работает он через POST запросы (вроде как) хотя до конца ещё код не разобрал, вобщем сам факт того что показует инфу мне не нравится, что такого включает safe_mode чего я не сделал руками?
И вариант ли включить mod_security что бы он фильтровал POST запросы (в доках вроде как реально) ну а на практике хотелось бы услышать ваше мнение, стоит или нет его применять?
P.S. В целом закрытый SSH и ограниченный доступ к панели на уровне root защищают сервер даже при наличии рут пароля, ну всё же не хочется что бы кто то обладал информацией о файлах, процессах портах и прочем...
ссылочка слегка не та , это отдельный сервер под биллинг а шеред инфо вот тут можно посмотреть http://dobrohost.net/info.php хотя сути не меняет ядра одинаковые
Из всего вышесказанного меня прельщают несколько вещей:
1. уйти от mpm-itk в сторону suPHP (так как это реализовано в сипанель)
2. очень интересное решение с mod_security почитал в принципе решает многое
3. отдельные разделы в noexec (тут можно разгулятся вплоть до отдельного раздела каждому юзеру, так как всё крутится на лвм и такое сделать можно, ну не уверен что реально это автоматизировать средствами исп манагера)
4. ssh я никому не даю, да и никто не просит, фаерволом я его закрыл полностью для всех кроме своего апи адреса
что касается переустановки то тут как бы есть проблема , так как сервера свои и пересесть на что то не очень реально, можно погемороятся и скинуть всех на несколько вдсок или на одну даже на время реинстала, ну конечно крайне не хотелось бы сейчас таких жёстких действий, сервер хоть и не полон но сайтов много .... хотя понимаю риск и вероятно что то попробую предпринять в этом направлении.
За советы в общем конечно же спасибо, то что не все советы будут применимы я в принципе и знал, так как уже имел опыт (пару лет назад) тупого запуска насоветованных команд.... после того сразу ничего не выполняю без анализа, постараюсь поработать с админами придложившими здесь свои услуги, так как вижу что вопрос не совсем банальный и требует очень професионального подхода, в плане на постоянку админ, над этим конечно работаем и в ближайшее время так и поступим
