Здесь, увы, почти не модерируются некоторые разделы. Так что на комментарий от очередного пыонера (типа webrock) есть два варианта ответа: игнорировать полностью либо попробовать указать на глупости, если уж это совсем просто.
Не думаю, что сильно ошибусь - данных в открытом доступе достаточно. Да и арифметика тут несложная (хотя какое-там - на спеллчекер сайта денег не хватило ;))...
Тут противоречие, нет? Или у Вас уже был удаленный администратор сервера? Судя по Вашим предыдущим сообщениям - нет, не было. Просто время от времени Вы приглашали очередного Васю "поадминить" Вам хостинг - а ведь это большая разница.
Т.е. Вы таки готовы платить от 1.5-2k$ админу на фуллтайм (это еще скромная цифра) + штату техподдержки (в сумме - тоже около этого)? С таким бюджетом есть шанс собрать квалифицированную команду "из своего города"...
"Применить" вменяемый администратор "что-то" Вам просто не даст. Вплоть до того, что у Вас не будет root-доступа. Кто захочет отвечать за то, что готов учудить на сервере менее квалифицированный человек, да еще и начальник? :)
Веб-шелл весьма нечеткое понятие. Грубо говоря, это веб-скрипт, размещенный на сайте одного из пользователей.
Ваша задача - ограничить деятельность этого скрипта только указанным сайтом. Вы готовы предложить свою универсальную "пару строчек" для критики? Думаю, это было бы интересно ТС.
Да, применялось.
Вам это сильно помогло, учитывая написанное ранее написанное ранее?
Скажем иначе, это не для копеешного хостинга, где на штатного админа нету средств. Так понятно?
О чем тут спорить? Посмотрите документацию апача, предложенную Вами директиву <Files>. Найдете?
"Можно". (Только "куда мне захочется" - вряд-ли получится.) Но от декларации "залил шелл в /tmp" до PROFIT в виде "ботнет" - Вы пропустили многоточие. Самое существенное: как предполагается "объединять Ваш серверок и еще сотни" и что даст Ваша конкретная "защита" для противодействия этому?
Вы именно что говорите "от фонаря".
Чтобы от шелла был толк - его мало загрузить в /tmp . Нужно ... А вот что, уважаемый, нужно-то? Али не знаете?
Ну вот за такой аудит "серьезная компания" Вам тоже платить не будет. На основании чего, собственно?
Ну так для "директории /tmp" это глупо уже по тому, что оттуда апач файлы и так не раздает.
Нет, детка - учи матчасть.
Как Вы запретите таким образом работать с файлами данной маски из скриптов (в т.ч. открывать и модифицировать)?
Ну а во-вторых, что вообще Вы собираетесь далее делать в этой секции <Files>. Запретить доступ? А как апач будет с этими файлами работать? Ах он у Вас такие файлы и не обрабатывает (и вообще таких расширений у Вас нет) - так какой тогда смысл в этой "защите"?
У "серьезных компаний" есть штат сотрудников, занимающихся как раз администрированием. И кого-то с "аудитом безопасности" туда просто не пустят ;) - Вы явно переоценили "серьезность" компании.
Да дырка это сплошная, все знают ;)
С другой стороны - лучше чем ничего. А во-вторых, для ограничения доступа к другим аккаунтам - у Вас есть механизмы посильнее open_basedir. Создалось впечатление, что об этом Вы забыли.
Нет, не закроет. Проблема - в том, что кто-то получил у Вас root-доступ (с Ваших слов). И пока Вы не разобрались как это было сделано и что конкретно хакер делал, обладая root-доступом - рано говорить о каких-то решениях.
Собрать свое ядро несложно. Хотя займет уйму времени в первый раз (в цикле: чтение документации -> конфигурация ядра -> сборка -> тестирование). Будьте также готовы к тому, что даже после продолжительного тестирования - использование ядра в продакшен выявит какие-то проблемы и придется начинать цикл заново.
Вам потребуется также самостоятельно следить за ошибками в ядре, закрывая новые уязвимости. Т.е. обновлять и longterm релиз (2.6.32) и grsecurity патч.
А что будет, когда Вы собрали и оттюнили себя ядро, исключив из него "все лишнее", а потом захотели его водрузить на новый хостинговый сервер? А он - оппа! - с совершенно другими комплектующими идет.
Вы про disable_functions у ТС забыли? Не к лицу Вам брать пример с Андрейки - Вы вроде обычно читаете посты автора топика.
Да? "Аналогичные" - есть у всех. А вот того, что нужно ТС - нет. Тут еще час выяснять детали ТЗ будете, не меньше - иначе потом клиент будет обижаться, и не зря.
Дело хозяйское, но имхо - малореалистично. Для администрируемых серверов такое годится. Для случайных разовых клиентов - нет (наш размерчик - 40$/час).
ТС я бы посоветовал озадачить подобной идеей VPS-хостера. Для него "установка под ключ" для клиентских VPS может быть выгодной. Но ведь ТС уже сменил парочку хостеров, верно? :D
