- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Здравствуйте, уважаемые коллеги.
Да простят меня модераторы, но в данном разделе больше хостеров увидят данное сообщение. Если критично, то перенесите в администрирование или безопасность.
Для тех, кто не в теме - CageFS это виртуальная файловая система в составе CloudLinux, которая разграничивает пользователей. Они не видят файлы друг друга, а также есть ряд иных плюшек, подробнее можете прочитать здесь http://docs.cloudlinux.com/index.html?cagefs.html
Проблема заключается в том, что ISPmanager 5 Business используется Apache в режиме работы ITK из репозитория epel, при конвертации системы в CloudLinux, всё остается без изменений (остается стоять тот же ITK). CloudLinux не умеет работать с Apache ITK из коробки, его необходимо патчить, чтобы была поддержка CageFS, об этом описано на странице http://docs.cloudlinux.com/index.html?compatiblity_matrix.html
Имеем то, что пользователи у которых включены CGI или PHP (без open_basedir), свободно могут обходить CageFS, так как не стоит патч. Я писал http://bugtrack.ispsystem.com, где мне ответили: "... на стандартных UNIX системах это считается нормой ..." и исправлять конечно же не захотели.
На мой взгляд, заявлять поддержку CageFS (https://www.ispsystem.ru/software/ispmanager/cloudlinux-module) "Гибко разграничивайте пользователей друг от друга с помощью виртуальной файловой системы CageFS" и на возможность обхода разграничений говорить, что это нормально, не является нормальным :)
Какие последствия данной проблемы - каждому судить самому, я не специалист по безопасности, но мне гораздо спокойнее спится, если пользователь не может свободно лазить по системе в обход CageFS.
Решения проблемы есть разные. Можно просто пересобрать Apache с патчем c сайта CloudLinux, можно перейти на использование Apache в режиме Prefork.
С чего вы взяли, что в IPSManager 5 Biz используется ITK из epel?
httpd-2.4.6-40.el7_2.1.cloudlinux.x86_64
Отсюда:
http://doc.ispsystem.ru/index.php/%D0%9A%D0%BE%D0%BD%D0%B2%D0%B5%D1%80%D1%82%D0%B0%D1%86%D0%B8%D1%8F_%D0%BA%D0%BB%D0%B0%D1%81%D1%82%D0%B5%D1%80%D0%B0_%D1%81_CentOS_%D0%BD%D0%B0_CloudLinux
4.1 Web удаляются следующие пакеты:
ispmanager-pkg-httpd-itk
httpd
ispmanager-pkg-php
ispmanager-pkg-webalizer
httpd-itk
С чего вы взяли, что в IPSManager 5 Biz используется ITK из epel?
httpd-2.4.6-40.el7_2.1.cloudlinux.x86_64
Отсюда:
http://doc.ispsystem.ru/index.php/%D0%9A%D0%BE%D0%BD%D0%B2%D0%B5%D1%80%D1%82%D0%B0%D1%86%D0%B8%D1%8F_%D0%BA%D0%BB%D0%B0%D1%81%D1%82%D0%B5%D1%80%D0%B0_%D1%81_CentOS_%D0%BD%D0%B0_CloudLinux
На CentOS 6, после конвертации системы (локальный узел) в файле /etc/sysconfig/httpd есть строка HTTPD=/usr/sbin/httpd.itk, apachectl -V выдает Server MPM: ITK, в top соответственно висят процессы /usr/sbin/httpd.itk, yum provides /usr/sbin/httpd.itk выдает Repo: epel. rpm -qa | grep httpd действительно выдает httpd-2.2.15-53.el6.cloudlinux.x86_64, но он не используется.
Система ставилась на прошлой неделе.
В CentOS 7 нет этой строчки и сервер работает в режиме:
Server MPM: prefork
UPD
Если ставили на прошлой неделе, зачем использовать 6 версию? 7 уже в продакше, и несколько апдейтов было
В CentOS 7 нет этой строчки и сервер работает в режиме:
Server MPM: prefork
Значит касается только CentOS 6.
На CentOS 6, после конвертации системы (локальный узел) в файле /etc/sysconfig/httpd есть строка HTTPD=/usr/sbin/httpd.itk, apachectl -V выдает Server MPM: ITK, в top соответственно висят процессы /usr/sbin/httpd.itk, yum provides /usr/sbin/httpd.itk выдает Repo: epel. rpm -qa | grep httpd действительно выдает httpd-2.2.15-53.el6.cloudlinux.x86_64, но он не используется.
Система ставилась на прошлой неделе.
Что-то вы путаете.
Я вчера и сегодня общался с поддержкой CloudLinux, они подтвердили наличие проблемы конкретно на моём сервере. Также сказали, что клиентов с ISPmanager 5 у них мало и к ним пока с данной проблемой никто не обращался. В понедельник пообещали продолжить исследование работы подняв свою тестовую площадку. /usr/sbin/httpd.itk из их пакета с необходимыми патчами, Вы правы, V(o)ViK.
В режиме Apache Prefork работает корректно, запросы погружаются в LVE, в режиме ITK запросы не уходят в LVE из-за чего не работает CageFS.
Затрагивает ли Вас проблема можно проверить путем запуска команды:
Если увидите сообщения вида:
Значит Вы под угрозой.
Затрагивает ли Вас проблема можно проверить путем запуска команды:
Вообще неправда. Затрагивает или нет можно путем закачки веб-шелла на php и попытке выбраться в чужой каталог.
С чего вы взяли что обычный для ispmanager способ с созданием групп и расстановкой прав перестал работать ? http://ru.ispdoc.com/index.php/Работа_с_пользователями_и_группами
Вообще неправда. Затрагивает или нет можно путем закачки веб-шелла на php и попытке выбраться в чужой каталог.
С чего вы взяли что обычный для ispmanager способ с созданием групп и расстановкой прав перестал работать ? http://ru.ispdoc.com/index.php/Работа_с_пользователями_и_группами
Речь идет об обходе ограничения CageFS, а не о чтении файлов другого пользователя. За счет выставленных прав в указанной Вами документации прочитать чужой каталог действительно невозможно, но полазить по системе - вполне можно за счет обхода CageFS.
Также, если я верно понимаю, то в случае, если запрос не попадает в LVE, перестают работать ограничения установленные для пользователя на процессор, память, число соединений и процессов, что тоже не хорошо :)
Речь идет об обходе ограничения CageFS, а не о чтении файлов другого пользователя. За счет выставленных прав в указанной Вами документации прочитать чужой каталог действительно невозможно, но полазить по системе - вполне можно за счет обхода CageFS.
Также, если я верно понимаю, то в случае, если запрос не попадает в LVE, перестают работать ограничения установленные для пользователя на процессор, память, число соединений и процессов, что тоже не хорошо :)
пусть, все равно там нет ничего интересного кроме списка аккаунтов в passwd
пусть, все равно там нет ничего интересного кроме списка аккаунтов в passwd
Я не специалист по безопасности, но как писал ранее - спится гораздо спокойнее, если даже /etc/passwd для пользователей закрыт :)
В ISPmanager 4 знаю, что если стоит проксирование и запросы в панель обрабатываются NGINX, то пароли всех пользователей светятся в /var/log/nginx/access.log, в 5 версии вроде бы всё хорошо в этом плане.