WebHostingTalk.ru  

Вернуться   WebHostingTalk.ru > Главные форумы > Технические аспекты и вопросы безопасности

Ответ
 
Опции темы
  #1  
Старый 28.02.2006, 14:51
cyber_onix cyber_onix вне форума
Студент
 
Регистрация: 28.02.2006
Сообщений: 1
Восклицание Виртуальный хостинг и безопасность

Всем привет!
Подниму в очередной раз наверное самый животрепещущий вопрос по поводу виртуального хостинга клиентов (Apache+PHP+Perl) и безопасности системы и в первую очередь других клиентов.
Надо сделать так, что бы у пользователя не было возможности читать какие либо файлы в системе, кроме тех, которые расположены в его домашней директории (Ex: /hosting/user_login1), к которой он должен иметь полный доступ по FTP и HTTP

Варианты решения:
1. Jail
ПЛЮСЫ: для каждого сервера (клиента) создается своя виртуальная машина, в пределах которой он может делать что хочет, выйти за ее пределы не даст само ядро.
МИНУСЫ: неоправданно большой расход ресурсов: процессор, память, частично дисковое пространство.

2. chroot
Плюсы/Минусы - см п.1

3. Ограничение средствами безопасности самой системы (chmod,chown,setfacl)
ПЛЮСЫ: Хорошо подходит для обеспечения безопасности FTP доступа
МИНУСЫ: Не подходит для обеспечения безопасности от Perl/PHP скриптов (т.к. пользователь от которого работает web сервер должен иметь права как минимум на чтение в папки пользователей. (ex. user_login1:www 740)

4. ?

Кто продолжит список? Желательно поподробней.
Ответить с цитированием
  #2  
Старый 02.03.2006, 13:02
antiroot antiroot вне форума
Студент
 
Регистрация: 02.03.2006
Сообщений: 4
По умолчанию

Да, тема интересная
Думаю, пока php работает с правами веб-сервера, о безопасности говорить трудно, даже если safe mode включить. Пускать его как cgi - вариант очевидно фиговый.
Что можно сделать в этом плане - напр. посмотреть на др. mpm в апаче, на замену prefork, но думаю при большом кол-ве мелких сайтов, решение не очень.
Есть разные подпорки, вроде suphp (так вроде называется), но не юзал, не знаю.
Ну если си в руках держишь, то можно и самому апач обучить работать как надо.
С оставшимися сервисами (ftp/ssh/cgi через suexec) вроде проблем особых нет, они и так под правами юзера работают.
Ну и общую безопасность юниксов тоже докрутить не помешает - все лишнее за борт, неисполняемые /tmp и /var, не давать смотреть списки процессов и юзеров и тд и тп.

Удачи!
Ответить с цитированием
  #3  
Старый 02.03.2006, 15:54
hcenter.ru hcenter.ru вне форума
Лаборант
 
Регистрация: 24.01.2006
Сообщений: 194
Отправить сообщение для hcenter.ru с помощью ICQ
По умолчанию

ограничения можно сделать установив панель управления.
Для Unix систем Cpanel , для Windows Plesk.
Ответить с цитированием
  #4  
Старый 02.03.2006, 17:58
antiroot antiroot вне форума
Студент
 
Регистрация: 02.03.2006
Сообщений: 4
По умолчанию

Цитата:
Сообщение от hcenter.ru
ограничения можно сделать установив панель управления.
Для Unix систем Cpanel , для Windows Plesk.
Про винду не знаю, но под юниксами, в данном аспекте это просто включенный safe mode, не более того, php все равно работает с правами веб-сервера.
cpanel правда предлагает еще вариант гонять php через phpsuexec.
Ответить с цитированием
  #5  
Старый 16.04.2006, 00:45
andreyk@ andreyk@ вне форума
Лаборант
 
Регистрация: 15.04.2006
Сообщений: 226
По умолчанию

Цитата:
Сообщение от antiroot
cpanel правда предлагает еще вариант гонять php через phpsuexec.
При этом ресурсы сильно уходят
Ответить с цитированием
  #6  
Старый 16.04.2006, 00:48
andreyk@ andreyk@ вне форума
Лаборант
 
Регистрация: 15.04.2006
Сообщений: 226
По умолчанию

Цитата:
Сообщение от cyber_onix
Всем привет!
1. Jail
2. chroot
3. Ограничение средствами безопасности самой системы
4. ?
На FreeBSD есть патчик для cgi, который джайлит процесс. Это что касаемо CGI
Так же есть возможность на втором апаче делать peruser - запускать процессы от разных пользователей.
Ответить с цитированием
  #7  
Старый 16.04.2006, 00:49
andreyk@ andreyk@ вне форума
Лаборант
 
Регистрация: 15.04.2006
Сообщений: 226
По умолчанию

Цитата:
Сообщение от hcenter.ru
ограничения можно сделать установив панель управления.
Для Unix систем Cpanel , для Windows Plesk.
А при чем тут панель? И без панели можно руками все выставить
Ответить с цитированием
  #8  
Старый 30.05.2007, 04:15
hosterovsky hosterovsky вне форума
Студент
 
Регистрация: 13.01.2007
Сообщений: 7
Отправить сообщение для hosterovsky с помощью ICQ
По умолчанию

Цитата:
Сообщение от andreyk@
На FreeBSD есть патчик для cgi, который джайлит процесс. Это что касаемо CGI
Так же есть возможность на втором апаче делать peruser - запускать процессы от разных пользователей.
Насколько известно, модуль, который обеспечивает peruser на втором Apache еще не окончательно доработан, и запускать его в промышленную эксплуатацию вряд ли имеет смысл. Разве что самому дорабатывать.

Одним из возможных решений проблемы может быть использование front-end + back-end.
Читать здесь: http://forum.searchengines.ru/showthread.php?t=99925
Ответить с цитированием
  #9  
Старый 30.05.2007, 07:17
AndreyKa AndreyKa вне форума
Лаборант
 
Регистрация: 20.05.2004
Сообщений: 220
Отправить сообщение для AndreyKa с помощью ICQ
По умолчанию

Цитата:
Сообщение от hosterovsky
Насколько известно, модуль, который обеспечивает peruser на втором Apache еще не окончательно доработан, и запускать его в промышленную эксплуатацию вряд ли имеет смысл. Разве что самому дорабатывать.
Ну естественно - доработать и в продакшн
Я вот доработал - нареканий нет
__________________
dedic.ru - Новая фишка для владельцев выделенных серверов.
Ответить с цитированием
Ответ


Ваши права в разделе
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Недорогой виртуальный хостинг в европе ИванС Специальные предложения от провайдеров 1 28.06.2012 10:45
Виртуальный хостинг QubixHost Qubixhost Специальные предложения от провайдеров 1 19.09.2011 22:10
Професиональный Хостинг !!! Виртуальный хостинг Регистрация доменов VPS сервера Выдел SNIPER32 Специальные предложения от провайдеров 0 01.11.2010 03:08
Phpinfo() и безопасность uanic.biz Технические аспекты и вопросы безопасности 2 20.02.2005 03:09
Безопасность от  провайдеров El Chico Технические аспекты и вопросы безопасности 6 28.03.2002 16:16


Часовой пояс GMT +3, время: 20:46.


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot