https://www.opennet.ru/openforum/vsluhforumID8/5446.html Имеется: FreeBSD 6.2 в качестве корневой системы. В ней подняты два jail: в одном крутится сервер баз данных mysql, в другом крутится Apache с PHP в виде модуля. Изначально данная связка обслуживала всего 2 ресурса, и проблем с безопасностью особо не было. теперь, когда появилось более 10 виртуальных хостов у Apache, захотелось лишить возможности пользователей, залив скрипт типа shell, посмотреть всё содержимое Jail, в том числе и скрипты с других сайтов. <br><br><br> Изначально хотел сделать, как описано здесь : http://www.opennet.ru/base/sec/freebsd_jail_setup.txt.html , поместив при этом каждый сайт в отдельный jail со своим Apache и PHP, но слишком уж "памяти-емкая" эта звязка получится. <br><br> Погуглив, нашел несколько противоположных мнений на этот счет, последним ресурсвом стал: <br>http://surgutnet.ru/page.php?id=20, который окончательно запутал: всё же, как лучше защититься ?<br><br><br> Так всё же, где золотая середина между ресурсоемкостью и безопасностью ? Как сделать наиболее "изолированными" виртуальные хост https://www.opennet.ru/openforum/vsluhforumID8/5446.html#8 Fri, 08 Feb 2008 10:55:47 GMT &gt;[оверквотинг удален]<br>&gt;&gt;+ правильная расстановка прав. Но в этом случае не работает open_basedir. <br>&gt;&gt;<br>&gt;<br>&gt;Спасибо. С возможностью "подсмотреть" соседские исходники разобрался suexec+правильные права на директории <br>&gt;пользователей. <br>&gt;<br>&gt;Вопрос второй, не менее важный: в соседские директории теперь шеллом, например, не <br>&gt;пробраться. Но тем же phpRemoteView (пхп-шелл) легко можно попасть в корень <br>&gt;джейла (/) в котром живет Apache., следовательно, можно посмотреть /etc/passwd и <br>&gt;проч. Как избавиться от такой "возможности" ? <br><br>В fstab noexec, nosuid<br><br><br> https://www.opennet.ru/openforum/vsluhforumID8/5446.html#7 Tue, 15 Jan 2008 06:09:20 GMT &gt;свою проблему решил при помощи Apache от dkLAB (пропатченный 1.3.34 апач). Запускает <br>&gt;пользовательские скрипты от имени заданного пользователя, и даже при работе пхп <br>&gt;в виде модуля. Ссылка вот: http://dklab.ru/lib/dklab_apache/ У кого какие мнения об <br>&gt;этом экземпляре ? <br><br>dkLab Apache компилируется с BIG_SECURITY_HOLE=1 и проводит разбор HTTP-запроса с правами root, что потециально небезопасно.<br> https://www.opennet.ru/openforum/vsluhforumID8/5446.html#6 Wed, 09 Jan 2008 08:50:04 GMT свою проблему решил при помощи Apache от dkLAB (пропатченный 1.3.34 апач). Запускает пользовательские скрипты от имени заданного пользователя, и даже при работе пхп в виде модуля. Ссылка вот: http://dklab.ru/lib/dklab_apache/ У кого какие мнения об этом экземпляре ?<br> https://www.opennet.ru/openforum/vsluhforumID8/5446.html#5 Fri, 04 Jan 2008 18:39:53 GMT &gt;Нет, я имею ввиду в принципе, ему там делать нечего на мой <br>&gt;взгляд, <br>&gt; Каких-то серьёзных известных уязвимостей в apache давно не было.<br><br>Вот это не факт. В модулях к нему - были и предостаточно.<br><br>&gt; Даже можно сказать, что Mysql там на 99% делать нечего.<br><br>+1.<br><br>&gt;Автору, возможно, стоит рассмотреть вопрос о использовании php как cgi, возможно suphp<br><br>Хм. nginx+php (как fastcgi в jail) - мне лично больше нравится. <br>Минус - нельзя использовать приятные фишки, типа .htpasswd, ModRewrite, e.t.c...<br>А иногда - надо.<br><br>&gt;+ правильная расстановка прав. Но в этом случае не работает open_basedir. <br><br>А теперь с вот этого места попдробнее.<br><br> https://www.opennet.ru/openforum/vsluhforumID8/5446.html#4 Fri, 04 Jan 2008 17:16:36 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Или Вы имели в виду для каждого виртуалхоста? <br>&gt;<br>&gt;Нет, я имею ввиду в принципе, ему там делать нечего на мой <br>&gt;взгляд, также как и Mysql. Даже можно сказать, что Mysql там <br>&gt;на 99% делать нечего. <br>&gt;Каких-то серьёзных известных уязвимостей в apache давно не было. <br>&gt;<br>&gt;Автору, возможно, стоит рассмотреть вопрос о использовании php как cgi, возможно suphp <br>&gt;+ правильная расстановка прав. Но в этом случае не работает open_basedir. <br>&gt;<br><br>Спасибо. С возможностью "подсмотреть" соседские исходники разобрался suexec+правильные права на директории пользователей. <br><br>Вопрос второй, не менее важный: в соседские директории теперь шеллом, например, не пробраться. Но тем же phpRemoteView (пхп-шелл) легко можно попасть в корень джейла (/) в котром живет Apache., следовательно, можно посмотреть /etc/passwd и проч. Как избавиться от такой "возможности" ?<br><br> https://www.opennet.ru/openforum/vsluhforumID8/5446.html#3 Fri, 04 Jan 2008 07:22:23 GMT &gt;А можно поподробнее с вот этого места: <br>&gt;&gt;Сувать Apache в jail бессмысленно.<br>&gt;<br>&gt;Или Вы имели в виду для каждого виртуалхоста? <br><br>Нет, я имею ввиду в принципе, ему там делать нечего на мой взгляд, также как и Mysql. Даже можно сказать, что Mysql там на 99% делать нечего.<br>Каких-то серьёзных известных уязвимостей в apache давно не было.<br><br>Автору, возможно, стоит рассмотреть вопрос о использовании php как cgi, возможно suphp + правильная расстановка прав. Но в этом случае не работает open_basedir.<br> https://www.opennet.ru/openforum/vsluhforumID8/5446.html#2 Thu, 03 Jan 2008 13:25:56 GMT А можно поподробнее с вот этого места:<br>&gt;Сувать Apache в jail бессмысленно.<br><br>Или Вы имели в виду для каждого виртуалхоста? <br> https://www.opennet.ru/openforum/vsluhforumID8/5446.html#1 Thu, 03 Jan 2008 09:39:03 GMT Если php как модуль тогда нужно настроить open_basedir, disable_functions и т.д., что не относится ни к jail ни к FreeBSD.<br>Читать про безопасность Apache + php, а также использовать последние версии ПО и регулярно обновлять(особенно это касается php ).<br><br>Сувать Apache в jail бессмысленно.<br>