https://www.opennet.ru/openforum/vsluhforumID3/125689.html В PHP-FPM, менеджере процессов FastCGI, входящем в основную поставку PHP начиная с ветки 5.3, выявлена критическая уязвимость CVE-2021-21703, дающая возможность непривилегированному пользователю хостинга выполнить код с правами root. Проблема проявляется на серверах, использующих для организации запуска PHP-скриптов PHP-FPM, обычно применяемый в связке с Nginx. Выявившие проблему исследователи смогли подготовить рабочий прототип эксплоита...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56055<br> https://www.opennet.ru/openforum/vsluhforumID3/125689.html#83 Fri, 19 Nov 2021 12:43:03 GMT Есть: CAP_NET_BIND_SERVICE. Насчет ограничения setuid/setgid с ходу не понял, надо разбираться. "Наихудший" вариант: разрешать неограниченный setuid, но зарубленный доступ ко всему через эти же capabilities.<br><br>Начать можно с "Linux Capabilities in a nutshell", но лучше с английского языка и системного подхода к обучению.<br> https://www.opennet.ru/openforum/vsluhforumID3/125689.html#80 Sun, 31 Oct 2021 20:17:48 GMT Чта? В 99.99% случаев он работает на той же машине, что и NGINX, с которым они общаются либо через локальный сокет, либо через localhost:9000. Т.е. ему привилегированные порты в принципе не нужны.<br> https://www.opennet.ru/openforum/vsluhforumID3/125689.html#79 Sun, 31 Oct 2021 19:30:20 GMT А, ну сочувствую.<br> https://www.opennet.ru/openforum/vsluhforumID3/125689.html#78 Sun, 31 Oct 2021 17:32:39 GMT &gt; На хостингах обычно нет FPM, забудьте.<br><br>Обычно на моём хостинге есть PHP-FPM, ибо я сам его туда поставил.<br> https://www.opennet.ru/openforum/vsluhforumID3/125689.html#77 Sat, 30 Oct 2021 11:50:51 GMT На хостингах обычно нет FPM, забудьте.<br> https://www.opennet.ru/openforum/vsluhforumID3/125689.html#76 Sat, 30 Oct 2021 07:57:53 GMT Есть варианты как еще забиндить порт ниже 1024 и запускать чайлдов под другим юзером?<br>Обязательно расскажи.<br> https://www.opennet.ru/openforum/vsluhforumID3/125689.html#75 Fri, 29 Oct 2021 22:06:35 GMT Лень мешает. Люди настолько обленились, что хотят безопасности по дефолту. БД открыта наружу - виноват не админ сервера, а разработчик, который не делает по-умолчанию бинд на локалхост. Так же и тут.<br>Эпоха докера еще больше развратила людей. Бездумно ставят дефолтный образ и не видят в этом проблемы.<br> https://www.opennet.ru/openforum/vsluhforumID3/125689.html#74 Fri, 29 Oct 2021 19:54:00 GMT В systemd возможно запустить php-fpm(main process) не от root, также включить всякую там защиту и т.д. Просто надо научиться читать документацию. Порты в firewall перенаправить выше 1000, также nginx должен работать под своим user-ом и не иметь доступ даже на чтение php файлов. Нужно понять, что бесплатно никто не даст гарантии безопасности, именно сейчас, может в будущем люди станут мудрее.......... <br> https://www.opennet.ru/openforum/vsluhforumID3/125689.html#73 Fri, 29 Oct 2021 19:31:47 GMT В systemd возможно запустить php-fpm(main process) не от root, также включить всякую там защиту и т.д. Просто надо научиться читать документацию. Порты в firewall перенаправить выше 1000, также nginx должен работать под своим user-ом и не иметь доступ даже на чтение php файлов. Нужно понять, что бесплатно никто не даст гарантии безопасности, именно сейчас, может в будущем люди станут мудрее.......... <br>