Зачем Вам вообще федора на сервере?
Так плюньте на него - и уйдите к тому, кто предлагает CentOS (а еще лучше - Debian).
Вроде нет иных кандидатов на источник проблемы, кроме geoip.
Установите утилиты, работающие с geoip-базами (yum search). И посмотрите. На сайте максминд - веб-интерфейс работает с коммерческой базой.
Вы вообще абсолютно уверены, что проблема не где-то на уровне сервера, например? Бан-лист какой-нибудь, хоть на уровне .htaccess. Лимиты на число соединений и т.п. "Стало невозможно зайти" на практике - может означать кучу разных вещей.
Во-первых - правила iptables в студию:
iptables -vnL
Используйте штатные утилиты geoip (geoiplookup). Наконец, попросу добавьте правило INPUT -s 217.118.81.18 -j ACCEPT сразу до процитированного выше правила geoip. Проблема изчезла - значит дело в geoip или в правилах дальше по списку...
А почему сервер "зависнет" если всего-то ФС перешла в RO-режим?
Возможно, проблема в том как настроен.
Зачем Вы случаете все интерфейсы? Попробуйте указать конкретный IP/hostname.
А причем здесь сервер? Это придурь клиента.
Посмотрите - поди какую-нить галочку выставили типа "Перевести имена файлов в нижний регистр".
babiy: Прям даже слеза навернулась.. Вы это, не расстраивайтесь - съешьте апельсинку :)
А я пойду-ка отсюда, вслед за Himiko.
Если я могу читать, а тем более - модифицировать файлы в каталоге другого пользователя, то... Мне этого хватит. И минимально грамотному "хацкеру" - тоже.
disable_functions="system,exec,passthru,shell_exec,escapeshellarg,escapeshellcmd,dl,show_source,fileowner,filegroup,posix_getpwuid,posix_getgrgid,posix_uname,cwd,getcwd,php_uname,popen,proc_open,ini_get_ll,disk_total_space,diskfreespace,disk_free_space"
С этой ерундой знаком в т.ч. и топикстартер.
Открою страшную тайну - это очередной фиговый листок (и ТС уже это использовал). Или Вы open, read & write тоже запишите в сей списочек?
Мне как-то даже грустно стало. Надеялся на какое-то минимальное шевеление извилинами с Вашей стороны... Напрасно :(
Напрасно. Или Вы действительно готовы себя сравнить с крупными хостингами? :) Десять серверов у Вас хоть будет? Один-два - это как раз и есть микрохостинг. Так что за мнение своих потенциальных клиентов я не переживаю.
А Вы можете и не воспринимать сказанное всерьез. Считайте, что на Вас будут гонять приватные "сплойты для последних ядер". Бекапьте /tmp, да почаще - глядишь, там окажется бинарник на вес золота :D
И такой эффективной технологии нет в vanila? Шутите. Или просто "погорячились" с процентиками.
PS: И подобные "сплойты" - не из тех, что идут на атаку очередного микрохостера (не в обиду ТС).
Для этого совершенно не обязательно ставить grsecurity-патчи. Следите за сервером, обновляйтесь своевременно, не делайте глупых ошибок при администрировании - grsecurity не избавит Вас от необходимости делать все это (добавив потенциально гемороя).
Вообще, если root-доступ злоумышленик получил - это уже "клиника". grsecurity тут не помочь - разруха "не в клозетах" ;)
"Сложно" - но это и есть Ваша задача: как защитить сайты пользователя Васи от скрипта на сайте пользователя Пети.
Решить ее не так уж и сложно, имхо. Собственно, раз у Вас mpm-itk - скрипты одного пользователя не могут "залезть" в каталог другого. Если Вы специально не поставили "кривые" права на домашние каталоги.
