Forum Debian Users Gang

wax · 2014-08-21 20:07:32

Witam,

Napisze co chciałbym osiągnąć.

Mam folder public_html chce żeby tylko w tym folderze działały skrypty php, żeby z tego folderu nie dało się wyjść ani podglądnąć folderu wyżej. Innymi słowy chce zabezpieczyć maksymalnie system przed potencjalnym atakiem przez wrzucenie jakiegoś skryptu czyli jak np ktoś wrzuci mi shella na serwer.

Nie bardzo mam pojecie jak to osiągnąć na razie proszę o na kierowanie mnie na rozwiązania a ja postaram się sam poczytać o nich i wykonać.

Na serwerze działa php + apache + sshfs nie więcej w założeniu.

Proszę o pomoc.

Jacekalex · 2014-08-21 20:23:47

Zainteresuj się funkcjami [b]open_basedir[/b] i [b]disable_functions[/b] w php.

Ostatnio edytowany przez Jacekalex (2014-08-21 20:32:04)

wax · 2014-08-21 20:32:52

Aha zapomniałem dodać że będzie w tym folderze działał MUWordpress. Może to ma znaczenie. Dzięki za odpowiedź. I tylko zwykle ograniczenie php wystarczy bo wątpię a jak ktoś wzuci coś jak .sh ?

Jacekalex · 2014-08-21 20:38:51

Jak ktoś wrzuci skrypta sh czy perla, to po to masz w serwerze www moduły rewrite, czy security2, żeby ograniczyć typu plików, do których można się odwołać wywołaniem GET lub POST.

Poza tym nie ma czegoś takiego, jak ktoś wrzucić, jak to twój serwer, a jak robisz maszynę do wynajmowania kont hostingowych, to każdemu pacjentowi robisz np chroota chronionego przez grsec, i gotowe.

Weź się w garść, i napisz, co dokładnie ma być na tym serwerze, możliwości konfiguracji masz kilkadziesiąt.

Ostatnio edytowany przez Jacekalex (2014-08-21 21:04:44)

wax · 2014-08-21 20:46:27

W teorii to serwis blogowy z możliwością uploadu swoich plików w tym i skryptów php . Na razie bardziej w celu mojej nauki ale potem kto wie.

Jacekalex · 2014-08-21 20:56:09

Upload własnych skryptów php - to już proszenie się o kłopoty, na bloga to się wrzuca obrazki, ewentualnie jakieś dokumenty txt,pdf, doc i podobne, a nie skrypty php.

Skrypty php to można pakować przez ssh lub ftp, przy okazji traktując je jakąś kontrolą, np clama można zapiąć do każdego serwera ftp.

Np Clamav bywa dosyć bezlitosny - zwłaszcza z funkcją automatycznego usuwania podejrzanych plików:

Kod:

clamdscan c100.php 
/home/www/AAdmin/phpshell/c100.php: PHP.C99-13 FOUND
/home/www/AAdmin/phpshell/c100.php: PHP.C99-13 FOUND

----------- SCAN SUMMARY -----------
Infected files: 1
Time: 0.233 sec (0 m 0 s)

Ostatnio edytowany przez Jacekalex (2014-08-21 21:11:55)

wax · 2014-08-21 21:18:27

Znaczy się ja sobie to tak wyobrażałem WordPress w osobnym folderze + każdy użytkownik ma swój folder w którym ma folder media (do którego ma dostęp przez WordPressa może dodawać wszystko prócz php i osobny folder (do tego i tylko do tego folderu ma dostęp przez ftp) na skrypty php + co tam chce. Tak sobie to wymyśliłem ale że na razie nie mam pojęcia i się uczę to różnie może być.

Jacekalex · 2014-08-21 21:26:23

Musisz sam pokombinować trochę.
Jak będziesz miał prawdziwe problemy to wtedy na forum, teorii nikt tu wykładać nie będzie na żadne "chyba", "a może", i tym podobne.

Wordpress ma jakąś funkcję czy moduł do filtrowania typów mime przy uploadzie, w tej chwili nie pamiętam, jak to dokładnie wyglądało, dawno się WP nie bawiłem.

Tu masz conieco:
http://codex.wordpress.org/Plugin_API/Filter_Reference/upload_mimes

Ostatnio edytowany przez Jacekalex (2014-08-21 21:31:04)

wax · 2014-08-21 21:40:21

Dobra dzięki za pomoc i kilka pojęć sytuacja mi się rozjaśniła trochę.

Time (s)	Query
0.00013	SET CHARSET latin2
0.00005	SET NAMES latin2
0.00112	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.117.145.67' WHERE u.id=1
0.00065	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.117.145.67', 1732530757)
0.00057	SELECT * FROM punbb_online WHERE logged<1732530457
0.00068	DELETE FROM punbb_online WHERE ident='18.224.70.11'
0.00056	SELECT topic_id FROM punbb_posts WHERE id=273771
0.00006	SELECT id FROM punbb_posts WHERE topic_id=26294 ORDER BY posted
0.00058	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=26294 AND t.moved_to IS NULL
0.00006	SELECT search_for, replace_with FROM punbb_censoring
0.00100	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=26294 ORDER BY p.id LIMIT 0,25
0.00107	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=26294
Total query time: 0.00653 s

Forum Debian Users Gang

Ogłoszenie

#1 2014-08-21 20:07:32

wax - Użytkownik

public_html + php zamykanie w klatce

#2 2014-08-21 20:23:47

Jacekalex - Podobno człowiek...;)

Re: public_html + php zamykanie w klatce

#3 2014-08-21 20:32:52

wax - Użytkownik

Re: public_html + php zamykanie w klatce

#4 2014-08-21 20:38:51

Jacekalex - Podobno człowiek...;)

Re: public_html + php zamykanie w klatce

#5 2014-08-21 20:46:27

wax - Użytkownik

Re: public_html + php zamykanie w klatce

#6 2014-08-21 20:56:09

Jacekalex - Podobno człowiek...;)

Re: public_html + php zamykanie w klatce

Kod:

#7 2014-08-21 21:18:27

wax - Użytkownik

Re: public_html + php zamykanie w klatce

#8 2014-08-21 21:26:23

Jacekalex - Podobno człowiek...;)

Re: public_html + php zamykanie w klatce

#9 2014-08-21 21:40:21

wax - Użytkownik

Re: public_html + php zamykanie w klatce

Stopka forum

Informacje debugowania