Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2007-05-08 10:01:09
kuchar - 
Użytkownik
Zabezpieczanie Apache - hosting
Mam do postawienia Apache na serwerze przeznaczonym do hostingu. W zwiazku z tym musze go zabezpieczyc (chodzi glownie o PHP) . PHP dziala jako CGI wykorzystujac mod_fcgid, dodatkowo w Apache skonfigurowany jest suexec. Chce tak ograniczyc userow, zeby nie mogli listowac katalogow i plikow innych userow, katalogow i plikow systemowych np /etc, /etc/passwd. NIestety samymi uprawnieniami nie da sie tego zrobic, bo do katalogow uzytkownikow prawa do przegladania musi miec kazdy zeby apache mogl sie tam wbic, z tego co wiem nie da sie tego zrobic przez grupy dodajac do grupy uzytkownika usera apache, bo podobno jeden user w Linuxie moze byc w max 16 grupach, a dla mnie to za malo. Czy chroot nie przeszkodzi w uzywaniu MySQL-a itp? Moze ktos ma jakis inny pomysl? Z gory dzieki za pomoc.
Linux Registered User # 406343
Routing protocols enable routers to route routed protocols :)
Offline
#2 2007-05-08 16:01:33
BiExi - matka przelozona
Re: Zabezpieczanie Apache - hosting
co do uszczenienia apache
http://securitystandard.pl/news/108040_1.html
Co do samych kont uzytkownikow ja bym Ci nie proponowala zakladac fizycznych kont systemowyc bo miski rozniosa CI server predzej czy puzniej
zastanow sie nad proftpd + mysql by tworzyc konta na strony www bez kont systemowych
Offline
#3 2007-05-09 20:25:39
kuchar - Użytkownik
Re: Zabezpieczanie Apache - hosting
ale wtedy taki sktypt php czy perla bedzie mial dzialal jako user apache a to jest troche niefajnie
Linux Registered User # 406343
Routing protocols enable routers to route routed protocols :)
Offline
#4 2007-05-09 20:34:45
BiExi - matka przelozona
#5 2007-05-09 21:17:20
kamikaze - Administrator
- kamikaze
- Administrator
- Zarejestrowany: 2004-04-16
Re: Zabezpieczanie Apache - hosting
Czemu zaraz shellowych. Można przecież zablokować dostęp do ssh dla nich.
Offline
#6 2007-05-09 23:55:46
czadman - Bicycle repairman
- czadman
- Bicycle repairman
- Skąd: Wrocław
- Zarejestrowany: 2005-07-08
Re: Zabezpieczanie Apache - hosting
Chce tak ograniczyc userow, zeby nie mogli listowac katalogow i plikow innych userow, katalogow i plikow systemowych np /etc, /etc/passwd. NIestety samymi uprawnieniami nie da sie tego zrobic, bo do katalogow uzytkownikow prawa do przegladania musi miec kazdy zeby apache mogl sie tam wbic,
Może się zastanów czy chcesz odebrać uprawnienia do przeglądania plików innych czy nie. :)
Jeśli pliki userów będą do należały do grupy użytkownika apacha (np www-data), to apache będzie miał do nich dostęp i je odczyta aby wysłać do przeglądarki, a skrypty cgi wykonywane na prawach innych użytkowników nie, więc ich nie wylistują.
Pomijam fakt, że apache+cgi(fastcgi) to jest przeciwieństwo demona wydajności.
Offline
#7 2007-05-10 11:33:11
TBH - Członek DUG
Re: Zabezpieczanie Apache - hosting
ale wtedy taki sktypt php czy perla bedzie mial dzialal jako user apache a to jest troche niefajnie
niekoniecznie:
tbh@PuddleFrog:~$ aptitude show libapache2-mod-suphp
Pakiet: libapache2-mod-suphp
Nowy: tak
Stan: zainstalowany
Zainstalowany automatycznie: nie
Wersja: 0.6.2-1
Priorytet: opcjonalny
Sekcja: net
Opiekun: Emmanuel Lacour <elacour@home-dn.net>
Rozmiar rozpakowanego: 111k
Wymaga: libc6 (>= 2.3.6-6), suphp-common (= 0.6.2-1), apache2.2-common
Opis: Apache2 module to run php scripts with the owner permissions
With the use of the suphp setuid root binary (from suphp-common package), this Apache2 module change the uid of the process executing the PHP interpreter to the owner
of the php script
Etykiety: devel::lang:php, devel::library, role::plugin, suite::apache, web::scripting
tbh@PuddleFrog:~$
http://tbhthelolmaker.wordpress.com/kontakt/
<TBH> Gentoo!
<X-dos> cóz, sa ludzie ktorzy nie wiedza co robic ze swoim wolnym czasem :)
Offline