Уязвимости и права доступа
Страницы: 1
Уязвимости и права доступа
Всем привет. Недавно столкнулся с проблемой заливки шелла через один из моих сайтов и размещение вредного кода на все остальные мои сайты, которые расположены на одном VDS. И возник вопрос о правильных правах доступа к файлам и папкам. Я далеко не специалист, поэтому понимаю систему следующим образом - для меня существуют три пользователя:
- root
- username
- apache

На сайты захожу через ФТП под именем username и заливаю файлы сайтов, которые соответственно создаются под именем и группой username
Аппач же в свою очередь работает от имени apache и создаёт файлики от имени и группы apache
Но эти созданные файлики я не могу удалить через ФТП, и для решения этой проблемы я нашёл статью, где написано, что нужно просто apache добавить в группу username
Я сделал это и возник вопрос - а почему нельзя было вместо этого просто открыть файл httpd.conf и заменить строки:

User apache
Group apache

на

User apache
Group username

1. Есть ли разница между таким изменением в httpd.conf и добавлением apache в группу username?
2. В свете главной проблемы и защиты от действий загруженных шеллов - как сделать так, чтобы аппач не мог перезаписывать и удалять уже существующие файлы, которые были созданы от имени username?
Изменено: AlexanderKoroten - 25 Июля 2015 20:51
Который раз создаю тему на данном форуме и никто не может ответить :confused:Форум мёртвый что ли или он чисто для сеошников и манимейкеров?
Можно настроить сервак, как FastCGI, и у каждого пользователя будет свой конфиг и права php.ini или отключить в общем конфиге потенциально опасные функции, закрыть необходимые директории до веба, как вариант сейф мод включить, файлы от каждого пользователя по фтп заливать, у них будут пользовательские прова, а сам пхп будет выполняться как апач, но тут тогда прийдется сделать папку для заливки 0777, для каких нить картинок
[FONT=verdana, geneva, lucida, lucida grande, arial, helvetica, sans-serif]А так... ищи статьи в нете, их куча, тут в топике шибко не распишешь...[/FONT]
Страницы: 1
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
14:50 Индексация страниц 
12:36 У кого новостник, дайте пару советов плиз 
13:53 AviTool - мощный инструмент для автоматизации работы с Avito 
17:01 Absence в Армении 
23:19 Ребята подскажите какими сервисами и прогами вы пользуетесь для SEO продвижения? 
20:28 Dao.AD: Монетизация и покупка Push/Pops/Inpage и Video трафика! 
14:50 Какую выбрать тему/нишу для сайта? 
19:37 Продажа лидов: форекс, инвестиции, нативка, гемблинг, чарджбеки 
15:45 Резидентные Прокси Ротационные BACKCONNECT США Европа Микс 
22:37 BestX24 - быстрый и безопасный обменник криптовалют и электронных денежных средств 
18:11 Обменник криптовалюты OnlyCrypto 
17:56 Услуга: Поведенческие факторы (ПФ) для Авито 
17:31 CactusPay.PRO | Умная платёжная система с выводом в USDT TRC-20 
16:51 JustProxy.Biz - Резидентные прокси без ограничения по трафику 
14:01 Union Pharm - топовая фарма-партнерка для профессионалов! 
10:59 Ням-ням! - 8 деликатесов, которые когда-то ели только бедные люди 
20:17 Точные прогнозы на футбол 
12:23 150+ хакерских поисковых систем и инструментов 
08:38 Накрутка поисковых подсказок 
17:41 Стряхнуть обыденность - об Агасфере 
10:54 Добро пожаловать в цифровой мир...