myhand

Рейтинг
278
Регистрация
16.09.2009
Безопастность. Chroot для Apache
netwind:
Я что-то не припоминаю систем блокирующих простые пароли в панелях управления (возможно потому что ставлю сложные). Зато регулярно встречаю пользователей, который хотят или меняют пароли на простые . Подскажите, в какой панели они, системы, есть из коробки ?

kxk, +1

Есть модули для PAM, позволяющие придерживаться заданного режима криптостойкости пароля. Минимальный набор символов, длина, перебор по словарю и т.д. Панеленезависимое решение, так сказать - для passwd тоже будет работать.

Безопастность. Chroot для Apache
netwind:
myhand, так ведь оптом утечет все. несколько из сотни паролей окажут тривиальными и дальше уже на серче, как на могильной плите, напишут, что Xостер Х - говно.

что значит несколько из сотни? либо _все_ пароли стойкие - либо нет. если вы позволяете ставить паролями имя любимой кошки - ССЗБ.

Andreyka:
Хранить учетки в ldap/mysql - не?

тоже вариант.

Безопастность. Chroot для Apache
netwind:
myhand, имена пользователей и вытекающую отсюда возможность перебирать пароли более быстро.

пароли нужно стойкие ставить. технические средства для контроля этого - давно есть.

это во-первых. А во-вторых - обычно достаточно понаблюдать какую-нибудь ошибку php-скрипта, рапортуя о которой он радостно сообщит о системных путях. Так что и имя пользователя угадать - не сложно - название домашнего каталога с ним обычно связано однозначно.

в-третьих. если злоумышленник читает произвольный файл в системе - что помешает ему выяснить полный путь к файлам сайта? откуда опять-таки информация о имени пользователя.

Безопастность. Chroot для Apache
MIRhosting.com:
Вы тему читали? При чем тут запрет доступа к /home/Xuser?

Определенно, читали. Запрет доступа к файлам других сайтов - реализуется для "не mod_php" - достаточно стандартными средствами. Каждому сайту - свой пользователь для скриптов. В чужой хом он не суется.

Что касается системных файлов типа /etc/passwd - тут либо ограничения внутри интерпретатора (типа open_basedir, если mod_php используется) либо chroot. Нужно ли возиться с организацией chroot на типовом виртуальном хостинге - хороший вопрос. Ну узнал я, что там написано

uXXXXX:x:1011:1011:,,,:/var/www/uXXXXX:/bin/false

uYYYYY:x:1012:1012:,,,:/var/www/uYYYYY:/bin/false

Много мне это дало?

флейм: mod_fcgid рулит, php-fpm отдыхает
vapetrov:
Если вы внимательно почитаете привиденьевые мной ссылки, то заметите, что этот старый независимый проект существенно переработан и теперь под крылом asf

Да, он там с 2009 года. Но то, что его включат в основной код - сомнительно. Апачи выбрали себе более легкое решение, которое в 2.4 будет. Да-да, с fcgistarter.

Безопастность. Chroot для Apache

у вас опечатка: надо open_basedir

пожалуйста, смотрите документацию, если сомневаетесь в названии директивы.

open_basedir можно выставить в конфиге апача.

флейм: mod_fcgid рулит, php-fpm отдыхает

пока ничего не говорит о том, что его в принципе собираются туда включать.

правильный мед здесь:

http://httpd.apache.org/docs/2.3/

http://httpd.apache.org/docs/2.3/new_features_2_4.html

В 2.4 будет mod_fcgi_proxy, а mod_fcgid - достаточно старый независимый проект.

флейм: mod_fcgid рулит, php-fpm отдыхает

А с чего Вы взяли, что его включили в 2.3 ветку?

Безопастность. Chroot для Apache

set_time_limit-то чем не угодил?

stack, а чем suphp отличается от php-cgi+suexec?

Безопастность. Chroot для Apache
MIRhosting.com:
ТС говорил про доступ к системным файлам, а не к файлам других пользователей.
php cgi, suexec и прочее не даст запрет на доступ к системным файлам

Не только. Во-первых, сказано следующее:

"Конфигурация Apache по-умолчанию позволяет из корня одного сайта получать доступ к файлам других сайтов и к корню сервера. "

"php cgi, suexec и прочее не даст запрет на доступ к системным файлам" - а какая в них тайна?

1... 343344345346347348349350351 ...489
Всего: 4890