hostplus.ws, suPHP - всего лишь модуль к апачу, который искользует системный PHP. Вариант избавиться от своих пхп.ини - пересобрать PHP. Всё, других вариантов нет. и при чём здесь mod_suPHP я немного не понимаю. Дело в том, что из системы вы никуда не денете ни php ни php-cli ни php-cgi.
Raistlin добавил 15.08.2011 в 13:53
hostplus.ws, И, да. Добавляю специально для вас:
Дальше список продолжать, что еще нужно запретить на сервере для тотальной безопасности? :)
Еще один. Поучите матчасть, а потом уже упрекайте меня в некомпетентности. Использовать свой php.ini там возможно в любом случае.
Raistlin добавил 15.08.2011 в 13:47
Я о том же. Мне нравится ставить на них 644 потому, что иначе не работает. Модуль апача не может считать файл, т.к. не владелец (я про 600). Поэтому вы тоже упустили, видимо, мои слова о том, что всё зависит от админа. Толково настраивают его единицы. Я отказался, мне проще с CGI.
Raistlin добавил 15.08.2011 в 13:48
iHead, bugsmoran, Забейте. У меня была глубокая ночь и форум выключилсо под утро, может быть, пост хотел только отправить.
Эм... Читайте дальше, у хостера - нечего ему там делать :) У мня ночь была глубокая, но и такое я видел и даже делал, правда не для хостинга :)
Raistlin добавил 15.08.2011 в 12:56
А вы тоже весьма не внимательный человек. Пост ниже. :)
hostplus.ws, Не путайте системный интерпретатор php и модуль апача.
http://www.suphp.org/DocumentationView.html?file=suphp.conf-example
Raistlin добавил 15.08.2011 в 12:13
TheJetHost.com, Я говорил не про стандартную сборку сипанели, а именно сторонний софт, который может иметь жизнь в системе. И примеры софта привёл.
TheJetHost.com, У вас пыхадмин работает от nobody, не? собственно, в его конфигах лежит рутовый пасс. дальнейший алгоритм мне подсказать?
Raistlin добавил 15.08.2011 в 01:36
собсна, php -c свой-конфиг.ini -f скрипт.php в кроне. Варианты противодействия?
Raistlin добавил 15.08.2011 в 01:43
З.Ы. юзеру ничто не мешает пользовать свой враппер к php-cgi, кстати, в очень многих случаях.
TheJetHost.com, Лирика: каждый скрипт должен работать от своего владельца, а не от nobody.
Факт: Кроме того, в системе работает от nobody и другой софт помимо апача, как правило. Например, qmail часто от него работает. Ну и фтп-серверы разные. В комплексе может оказаться весело, если хакер исследует систему и обнаружит сей факт. Пусть работает от апача, но будет так же ограничен как и nobody - это гораздо более корректно.
Raistlin добавил 15.08.2011 в 01:23
ну млин. Во-первых, пути жёстко прописывать - это как? пхп.ини лежит рядом с исполняемым файлом пхп или рядом с его враппером, или в системной дире. Собсна все... Ну можно еще с параметром запустить, например, из шелла или крона пыху, но от этого вы не спасётесь.
5$, не больше. За ответы на такие вопросы в общем-то специальным людям бапки платят.
Так вина то в этом как раз хостера. До сих пор многие (как у рег.ру и что там случилось не знаю) ставят дырявый mod_php - это о чем-то да говорит. Как раз надо понимать, что делаешь. Взлом сервера - прямая вина его администратора в первую очередь - недосмотрел. Во вторую очередь уже всё остальное.
Простите, а вы знаете способы запускать скрипты из /tmp с привилегиями отличными от привилегий пользователя? Простите, но чем /tmp отличается от любой другой папки? Для сведения, 777 можно поставить и на хоумдиру юзверя.
Во-во, оно самое.
Эм... А серверы обновлять - не прямая задача администратора?!
TheJetHost.com, работа апача от nobody - потенциальная дырка. Никогда так не делайте.
Смотря что за админ им рулит. Настроить его сложнее.
И чем это вам поможет? Не забудьте пёрл тогда порезать. закрыть доступ к системному интерпретатору python, покромсайте ruby и у вас вообще ничего работать не будет.
Тоже бред. А вы под каждую cms отдельный сервер ставите (с включенным magick quotes и с отключенным, к примеру)?
Гм, гм. Не вижу, как это поможет. От сплойтов может и спасет в какой-то степени, но уповать не рекомендую...
Опять же нужен спец. Иначе только себе хуже делаем.
Да вот я пока не знаю, в чем же там собсно дело то было... Если повышение привилегий имело место - и нормальному зверю достанется. Кстати, 70% юзверей ставят правильные права.
Особенно мне нравится ставить такие права на файлы конфигов скриптов с паролями к БД. Ну при условии что на папки стоит 755 - сами понимаете, к чему может привести. Нельзя так делать, или ограничивать через openbasedir - но тогда права побоку. Правда, существуют способы обхода этого ограничения, но все же лучше чем ничего.
Если не секрет, расскажите, для чего?
А как noexec вас спасет? Уж простите, но никак.
