ПРОЕКТЫ 

  АРХИВ 

Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 

  ПЕРСОНАЛЬНОЕ 

  ПРОГРАММЫ 

ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Защита от шелов

  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: Защита от шелов
  • From: Виктор Вислобоков <corochoone@xxxxxxxxx>
  • Date: Mon, 19 Aug 2013 09:48:17 +0400
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type; bh=KvMQFw9WlObd/WDeXH6B0cnLFv1iDrwgLzVP971QKM4=; b=MFk+Nszr//uWkn9wtjmAxAWjGYR0pNNYPE4O30Vyz9tM8/Gp5OrBLY7VcTt1be7jhg nDA/kX5GWX+l+9pIhICM3OtX3E0JdhYLCWb/vNstAdt+gH3mJ/iWXlE6mNTWMa1GqaoK IppvQ5uSeFr+BrKVyvO6HPwLCfm2j2u8tPopcHVZCg7EGecsnCmp8+XPls6xZMsU72xW bxUntwoJFQwFwjSQN/iXteDnSg91gg39W8SsV+gJoQOS+z/4/2otBO9C4m1s45R4cgMd YVl1DMgsyw1y3QTli3ZYVwjD6gNOqrusJuOgjnOc9aZ8MDQ7v8IxO6NloHL1fT1GwDej NVTA==
  • In-reply-to: <15801376815481@web24f.yandex.ru>
  • References: <137111376809093@web13f.yandex.ru> <1376809370852.805c5034@Nodemailer> <400591376810390@web24d.yandex.ru> <15801376815481@web24f.yandex.ru>
> php_value open_basedir "/home/user/1.ru/docs"
такое спасает только от PHP. Но если запустить perl или ещё чего - проблема остаётся, потому что на них ограничения PHP не распространяются.
Так что правильное решение - это разделение прав доступа по сайтам - всё остальное лишь полумеры


18 августа 2013 г., 12:44 пользователь Русанов Олег <lavandas@xxxxx> написал:
На счет прав не знаю теперь, это у меня из кэша шелл грузился. оказывается, а так выше папки сайта не может выйти, если в в /home/user/etc/httpd.conf прописать.

В общем работает и удобнее всего, наверное, это:
в .htaccess добавить:
php_value open_basedir "/home/user/1.ru/docs"



18.08.2013, 11:19, "Русанов Олег" <lavandas@xxxxx>:
> <Directory /home/идентификатор/домен/docs>
> php_admin_value open_basedir /home/идентификатор/домен/docs
> php_admin_value upload_tmp_dir /home/идентификатор/домен/docs/tmp
> </Directory>
>
> Вот это работает все-таки, только если прописывать не в /home/user/d.ru/conf/virtual.conf.manual,
> а в /home/user/etc/httpd.conf
> И права должны быть выключены "для других".
>
> а Ру-Центр неплохой хостинг, у них еще в Амстердаме площадка открылась,
> так что по-моему они - лучший вариант.
>
> 18.08.2013, 11:03, "Artem Vasiliev" <artem.vasiliev@xxxxxxxxx>:
>> Сменить хостинг
>> ————
>> WBR
>> Artem V. Vasiliev
>> Sent from Mailbox for iPhone
>>
>> On Sun, Aug 18, 2013 at 10:58 AM, Русанов Олег <lavandas@xxxxx> wrote:
>>> Это слишком сложно, как я это сделаю на хостинге Ру-Центра?
>>>
>>> В конфиг Апача не помогает:
>>> <Directory /home/идентификатор/домен/docs>
>>> php_admin_value open_basedir /home/идентификатор/домен/docs
>>> php_admin_value upload_tmp_dir /home/идентификатор/домен/docs/tmp
>>> </Directory>
>>> может это надо как-то в конфиг Энджиникса прописать?
>>>
>>> 18.08.2013, 10:45, "Виктор Вислобоков" <corochoone@xxxxxxxxx>:
>>>> Вам нужно добиться, чтобы php-скрипты запускались с правами пользователя, которому принадлежит сайт. На остальные сайты соответственно поставите права 0750 а апача и nginx добавите в группу пользователя, чтобы они могли читать файлы.
>>>> Как добиться? Разные способы есть. Например использование вместо mod_php для PHP режимов suexec или fastCGI. Есть ещё и всякие модули к апачу типа mod_suid, mod_ruid которые работают совместно с mod_php.
>>>>
>>>> 18 августа 2013 г., 10:29 пользователь Русанов Олег <lavandas@xxxxx> написал:
>>>>> Здравствуйте. Есть ли способ предотвратить просматривать шелом другие сайты на виртуальном хосте?
>>>>> В конфиге сайта рут - папка где index.php, а шелл показывает, что root - это папка где все сайты находятся.
>>>>> Может быть в этом дело?
>>>>>
>>>>> --
>>>>> С уважением,
>>>>> Олег Русанов.
>>>>>
>>>>> _______________________________________________
>>>>> nginx-ru mailing list
>>>>> nginx-ru@xxxxxxxxx
>>>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>>>>
>>>> ,
>>>> _______________________________________________
>>>> nginx-ru mailing list
>>>> nginx-ru@xxxxxxxxx
>>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>>>
>>> --
>>> С уважением,
>>> Олег Русанов.
>>> _______________________________________________
>>> nginx-ru mailing list
>>> nginx-ru@xxxxxxxxx
>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>>
>> ,
>> _______________________________________________
>> nginx-ru mailing list
>> nginx-ru@xxxxxxxxx
>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
> --
> С уважением,
> Олег Русанов.
> ,
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@xxxxxxxxx
> http://mailman.nginx.org/mailman/listinfo/nginx-ru


--
С уважением,
Олег Русанов.

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

 



Copyright © Lexa Software, 1996-2009.