Безопасность apache

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
SMiX
ефрейтор
Сообщения: 54
Зарегистрирован: 2008-04-26 0:50:14

Безопасность apache

Непрочитанное сообщение SMiX » 2008-05-07 9:55:58

Понимаю, вопрос новичка, но, думаю, что раздел для этой темы подходящий.
Столкнулся со следующей проблемой. Используя средства php/perl пользователи смотреть файлы других юзеров сервера не могут. Равно как и получать листинги их каталогов. Но это обходится выполнением системных команд функциями system, exec и т.п. в пхп. Можно запретить эти функции в php, но такое решение считаю грубым, и, думаю, есть более подходящее и грамотное.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Безопасность apache

Непрочитанное сообщение manefesto » 2008-05-07 11:13:10

как ты думаешь от имени кого работает apache ?
я такой яростный шо аж пиздеЦ
Изображение

SMiX
ефрейтор
Сообщения: 54
Зарегистрирован: 2008-04-26 0:50:14

Re: Безопасность apache

Непрочитанное сообщение SMiX » 2008-05-07 11:39:53

www

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Безопасность apache

Непрочитанное сообщение manefesto » 2008-05-07 14:11:23

Код: Выделить всё

last pid:  7613;  load averages:  0.00,  0.00,  0.00    up 1+22:46:52  14:12:07
30 processes:  1 running, 29 sleeping
CPU states:  0.0% user,  0.0% nice,  0.0% system,  0.4% interrupt, 99.6% idle
Mem: 15M Active, 145M Inact, 79M Wired, 60M Buf, 251M Free
Swap: 1024M Total, 1024M Free

  PID USERNAME   THR PRI NICE   SIZE    RES STATE    TIME   WCPU COMMAND
  524 root         1  96    0 14456K 10016K select   0:03  0.00% httpd
Я вот только понять не могу...зачем тебе получать список файлов то ?
Посади апач в jail.
я такой яростный шо аж пиздеЦ
Изображение

SMiX
ефрейтор
Сообщения: 54
Зарегистрирован: 2008-04-26 0:50:14

Re: Безопасность apache

Непрочитанное сообщение SMiX » 2008-05-07 14:13:25

Код: Выделить всё

96010 www                1  20    0   144M 20192K lockf    1:56  0.20% httpd
  783 mysql             15  20    0 56732K 38536K kserel  58:56  0.00% mysqld
96023 www                1   8    0   146M 22216K nanslp   8:04  0.00% httpd
14429 www                1  20    0   144M 20512K lockf    3:16  0.00% httpd
14837 www                1  20    0   146M 22688K lockf    3:14  0.00% httpd
14431 www                1  20    0   144M 20436K lockf    3:13  0.00% httpd
14439 www                1  20    0   144M 20212K lockf    3:13  0.00% httpd
14840 www                1  20    0   144M 20704K lockf    3:08  0.00% httpd

SMiX
ефрейтор
Сообщения: 54
Зарегистрирован: 2008-04-26 0:50:14

Re: Безопасность apache

Непрочитанное сообщение SMiX » 2008-05-07 14:14:47

manefesto писал(а): Я вот только понять не могу...зачем тебе получать список файлов то ?
Посади апач в jail.
Мне-то получать не надо. И файлы других юзеров читать тоже. А вот злоумышленникам очень пригодится такая возможность )
jail - единственный выход?

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Безопасность apache

Непрочитанное сообщение manefesto » 2008-05-07 14:22:45

запускай апач от имени юзера nobody.
Сади апач в клетку и всё.
я такой яростный шо аж пиздеЦ
Изображение

SMiX
ефрейтор
Сообщения: 54
Зарегистрирован: 2008-04-26 0:50:14

Re: Безопасность apache

Непрочитанное сообщение SMiX » 2008-05-07 15:39:59

Поставил user/group nobody, апач выдает 500 ошибку, причем в лог ничего о ней не сообщает...

SMiX
ефрейтор
Сообщения: 54
Зарегистрирован: 2008-04-26 0:50:14

Re: Безопасность apache

Непрочитанное сообщение SMiX » 2008-05-11 9:58:11

Уточнение, надо запретить читать файлы не просто других пользователей системы, а других виртуальных хостингов, поэтому jail в решении данной проблемы не поможет...

Аватара пользователя
serge
майор
Сообщения: 2132
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Re: Безопасность apache

Непрочитанное сообщение serge » 2008-05-11 12:56:12

Правильно выставить права на доступ к каталогам пользователей. В крайнем случае каталоги только будут видны, но доступа в них не будет.
А вообще запрет системных функция php хотя и грубая защита, но зачастую вполне оправданная (особенно на публичных хостингах).

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Безопасность apache

Непрочитанное сообщение manefesto » 2008-05-11 15:39:11

acl ?
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Безопасность apache

Непрочитанное сообщение Alex Keda » 2008-05-21 0:16:03

manefesto писал(а):acl ?
замедлит работу файловой системы.
сильно завсиит от наргузки на сервер. при больших - я бы не рекомендовал...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: Безопасность apache

Непрочитанное сообщение ProFTP » 2008-05-21 0:50:03

а как посмотреть файлы другого юзера если апач работает и права на файлы стоят для конкретного юзера и есть его собсвенная група, и опции в sysctl.conf которы запрещают просматр процессов и.д. ??

на ходу придумал: если /usr/local/bin /usr/bin и для других каталогов поставить права для конкретной групы и в эту групу root и тех пользовтелей котоырм мы доверяем, а для остальных закрыть.... можно так?

ЗЫ а как закрыть функцию система в perl?
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: Безопасность apache

Непрочитанное сообщение ProFTP » 2008-05-22 14:21:38

umask 027 в профиле и apache достаточно?
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение