|
Web Hosting, web serveri i operativni sistemi Komercijalni hosting, web serveri, bezbednost, operativni sistemi na serverima |
|
Alati teme | Način prikaza |
21. 03. 2008. | #41 |
Milan Cvejic
Wrote a book
|
chroot korisnika je koristan, ali u situaciji gde web server mora da ima pristup svim fajlovima koji se serviraju i nema neke koristi od toga... Sam apache proces mora da ima read pristup svim tim fajlovima, sto znaci da ukoliko je neka aplikacija komprimitovana, napadac dobija privilegije samog apache servera...
E sada, posto ima read pristup svim fajlovima, jer ima privilegije apache servisa, on moze da procita sve te fajlove... U sustini to je najveci problem sa shared hostingom... Da bi se to resilo tu se primenjuje chroot usera, i pusti se da se apache tera pod tim korisnikom... Sto znaci koliko korisnika toliko i instanci apache servisa... I jedan apache proces koji ce da radi proksiranje na osnovu ServerName parametra... Poprilicno jednostavna pricha, koja je istovremeno i veliki smor za konfigurisanje... U takvoj situaciji ti ograicish bilo koga da iako kompromituje neku web aplikaciju koja se izvrsava na tom serveru, moze da pristupi samo fajlovima i bazi te aplikacije. U tom slucaju napadac ukoliko kompromituje tu aplikaciju moze da dodje do administratorskih privilegija za samu bazu, i opet ima pristup svim bazama na serveru... Naravno ovde podrazumevam da na serveru ne postoji aplikacija koja u nekom od svojih fajlova ima root pass za bazu, ili da korisnici u bazi imaju sve privilegije... Toliko...
__________________
http://weevify.com |
21. 03. 2008. | #42 |
Ivan Dilber
Sir Write-a-Lot
|
zato moze da se koristi CGI sa suexec-om (moze i fastCGI, ako postoje uslovi), i onda da se svaki zahtev izvrsava pod suexec userom koji je zadat za taj VHost... Evo nekoliko mojih bookmarka na tu temu:
http://www.cosmocode.de/en/blogs/gohr/20070516093908/ http://wiki.osuosl.org/display/howto...ec+fastcgi+php http://www.seaoffire.net/fcgi-faq.html http://httpd.apache.org/docs/2.0/suexec.html nisam nikad probao da odradim ovaj setup (fastCGI + suexec), ali posto postoji gomila uputstava na tu temu, deluje da nije strasno namestiti..
__________________
Leadership is the art of getting people to want to do what you know must be done. Poslednja izmena od ivanhoe : 21. 03. 2008. u 23:56. |
"Hvala" ivanhoe za poruku: |
|
|
Slične teme | ||||
Tema | Početna poruka teme | Forum | Odgovori | Poslednja poruka |
Kako prebaciti sajt na https ? | misko_ | Web Hosting, web serveri i operativni sistemi | 14 | 16. 02. 2010. 20:50 |
Kako razdrmati sajt :) | twix | Opušteno | 2 | 30. 08. 2009. 21:33 |
Kako kazu, unapredjen sajt | jasmanac | Web site, dizajn i multimedia | 12 | 23. 05. 2008. 01:29 |
Kako koristiti ovaj sajt? | Miloje Sekulic | Planiranje i usability | 15 | 22. 03. 2006. 11:20 |
Kako promovisete novi web sajt? | shoba | Marketing i SEO | 8 | 23. 09. 2005. 10:28 |