Как защитится от shell?

[zed1]

Всем привет.
Пользователь благодаря шеллу может лазить в других папках сервера, как это можно устранить?
Спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Гость]

как это можно устранить?

запереть юзера внутри chroot(2). Вот, например, как это делает ftpd(8):

In the last case, ftpd takes special measures to restrict the client's
access privileges. The server performs a chroot(2) to the home directory
of the “ftp” user. As a special case if the “ftp” user's home directory
pathname contains the /./ separator, ftpd uses its left-hand side as the
name of the directory to do chroot(2) to, and its right-hand side to
change the current directory to afterwards.

[zed1]

всё намного проще, надо отключить функции в php.ini:

dl, shell_exec, exec, system, passthru, proc_open, proc_nice, socket_create, socket_open, proc_get_status, proc_close, proc_terminate, posix_mkfifo,popen

делается так:
к

Код: Выделить всё

disable_functions =

дописываем

Код: Выделить всё

disable_functions = dl, shell_exec, exec, system, passthru, proc_open, proc_nice, socket_create, socket_open, proc_get_status, proc_close, proc_terminate, posix_mkfifo,popen

и вуаля
шеллы не страшны

[Overseer]

Код: Выделить всё

/dev/mirror/gm0s1g on /tmp (ufs, local, noexec, nosuid, soft-updates)
/dev/mirror/gm0s1e on /var (ufs, local, noexec, nosuid, soft-updates)

только при обновлении системы нужно перемаунтить.

даже если скрипткид зальет бота в /tmp, запустить все равно не сможет.