The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Безопасность Apache+PHP FreeBSD"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы WEB технологии (Public)
Изначальное сообщение [ Отслеживать ]

"Безопасность Apache+PHP FreeBSD"  
Сообщение от VVEBER email(ok) on 02-Янв-08, 18:15 
Имеется: FreeBSD 6.2 в качестве корневой системы. В ней подняты два jail: в одном крутится сервер баз данных mysql, в другом крутится Apache с PHP в виде модуля. Изначально данная связка обслуживала всего 2 ресурса, и проблем с безопасностью особо не было. теперь, когда появилось более 10 виртуальных хостов у Apache, захотелось лишить возможности пользователей, залив скрипт типа shell, посмотреть всё содержимое Jail, в том числе и скрипты с других сайтов.


  Изначально хотел сделать, как описано здесь : http://www.opennet.dev/base/sec/freebsd_jail_setup.txt.html , поместив при этом каждый сайт в отдельный jail со своим Apache и PHP, но слишком уж "памяти-емкая" эта звязка получится.  

  Погуглив, нашел несколько противоположных мнений на этот счет, последним ресурсвом стал:
http://surgutnet.ru/page.php?id=20, который окончательно запутал: всё же, как лучше защититься ?


Так всё же, где золотая середина между ресурсоемкостью и безопасностью ? Как сделать наиболее "изолированными" виртуальные хосты друг от друга, но при этом, не убить все ресурсы железа ?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Безопасность Apache+PHP FreeBSD"  
Сообщение от Сергей (??) on 03-Янв-08, 12:39 
Если php как модуль тогда нужно настроить open_basedir, disable_functions и т.д., что не относится ни к jail ни к FreeBSD.
Читать про безопасность Apache + php, а также использовать последние версии ПО и регулярно обновлять(особенно это касается php ).

Сувать Apache в jail бессмысленно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Безопасность Apache+PHP FreeBSD"  
Сообщение от Владимир (??) on 03-Янв-08, 16:25 
А можно поподробнее с вот этого места:
>Сувать Apache в jail бессмысленно.

Или Вы имели в виду для каждого виртуалхоста?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Безопасность Apache+PHP FreeBSD"  
Сообщение от Сергей (??) on 04-Янв-08, 10:22 
>А можно поподробнее с вот этого места:
>>Сувать Apache в jail бессмысленно.
>
>Или Вы имели в виду для каждого виртуалхоста?

Нет, я имею ввиду в принципе, ему там делать нечего на мой взгляд, также как и Mysql. Даже можно сказать, что Mysql там на 99% делать нечего.
Каких-то серьёзных известных уязвимостей в apache давно не было.

Автору, возможно, стоит рассмотреть вопрос о использовании php как cgi, возможно suphp + правильная расстановка прав. Но в этом случае не работает open_basedir.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Безопасность Apache+PHP FreeBSD"  
Сообщение от VVEBER email(ok) on 04-Янв-08, 20:16 
>[оверквотинг удален]
>>Или Вы имели в виду для каждого виртуалхоста?
>
>Нет, я имею ввиду в принципе, ему там делать нечего на мой
>взгляд, также как и Mysql. Даже можно сказать, что Mysql там
>на 99% делать нечего.
>Каких-то серьёзных известных уязвимостей в apache давно не было.
>
>Автору, возможно, стоит рассмотреть вопрос о использовании php как cgi, возможно suphp
>+ правильная расстановка прав. Но в этом случае не работает open_basedir.
>

Спасибо. С возможностью "подсмотреть" соседские исходники разобрался suexec+правильные права  на директории пользователей.

Вопрос второй, не менее важный: в соседские директории теперь шеллом, например, не пробраться. Но тем же phpRemoteView (пхп-шелл) легко можно попасть в корень джейла (/) в котром живет Apache., следовательно, можно посмотреть /etc/passwd и проч. Как избавиться от такой "возможности" ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Безопасность Apache+PHP FreeBSD"  
Сообщение от maksim (??) on 08-Фев-08, 13:55 
>[оверквотинг удален]
>>+ правильная расстановка прав. Но в этом случае не работает open_basedir.
>>
>
>Спасибо. С возможностью "подсмотреть" соседские исходники разобрался suexec+правильные права  на директории
>пользователей.
>
>Вопрос второй, не менее важный: в соседские директории теперь шеллом, например, не
>пробраться. Но тем же phpRemoteView (пхп-шелл) легко можно попасть в корень
>джейла (/) в котром живет Apache., следовательно, можно посмотреть /etc/passwd и
>проч. Как избавиться от такой "возможности" ?

В fstab noexec, nosuid


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Безопасность Apache+PHP FreeBSD"  
Сообщение от Владимир (??) on 04-Янв-08, 21:39 
>Нет, я имею ввиду в принципе, ему там делать нечего на мой
>взгляд,
> Каких-то серьёзных известных уязвимостей в apache давно не было.

Вот это не факт. В модулях к нему - были и предостаточно.

> Даже можно сказать, что Mysql там на 99% делать нечего.

+1.

>Автору, возможно, стоит рассмотреть вопрос о использовании php как cgi, возможно suphp

Хм. nginx+php (как fastcgi в jail) - мне лично больше нравится.
Минус - нельзя использовать приятные фишки, типа .htpasswd, ModRewrite, e.t.c...
А иногда - надо.

>+ правильная расстановка прав. Но в этом случае не работает open_basedir.

А теперь с вот этого места попдробнее.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Безопасность Apache+PHP FreeBSD"  
Сообщение от VVEBER email(ok) on 09-Янв-08, 11:50 
свою проблему решил при помощи Apache от dkLAB (пропатченный 1.3.34 апач). Запускает пользовательские скрипты от имени заданного пользователя, и даже при работе пхп в виде модуля. Ссылка вот: http://dklab.ru/lib/dklab_apache/ У кого какие мнения об этом экземпляре ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Безопасность Apache+PHP FreeBSD"  
Сообщение от Keeper email(??) on 15-Янв-08, 09:09 
>свою проблему решил при помощи Apache от dkLAB (пропатченный 1.3.34 апач). Запускает
>пользовательские скрипты от имени заданного пользователя, и даже при работе пхп
>в виде модуля. Ссылка вот: http://dklab.ru/lib/dklab_apache/ У кого какие мнения об
>этом экземпляре ?

dkLab Apache компилируется с BIG_SECURITY_HOLE=1 и проводит разбор HTTP-запроса с правами root, что потециально небезопасно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру