اقدامات جلوگیری از سیملینک در Cpanel چیست؟!

[ZilanServer]

سلام دوستان

امینت دربرابر سیملینک 100% نیست اما اگر ممکه یک توضیحی بدید که دقیقا برای جلوگیریش باید چه اقداماتی رو انجام داد که بایپس هم نشه؟!

[007]

سلام
ازطریق easyapacheمیتونین تیکش رو بزنین و کامپایل کنین تا سیملینک نشه سرورتون
ارادت

[ZilanServer]

سلام
ازطریق easyapacheمیتونین تیکش رو بزنین و کامپایل کنین تا سیملینک نشه سرورتون
ارادت

فقط همین؟!!
یعنی هیچکار دیگه نیاز نیست؟

[vhost]

سلام
ازطریق easyapacheمیتونین تیکش رو بزنین و کامپایل کنین تا سیملینک نشه سرورتون
ارادت

کذوم تیک ؟

[Yas-Host]

1- تعریف open_basedir در php.ini
2- استفاده از suphp
3- جلوگیری از اجرای perl / python / cgi در وب سرور و سی پنل
4- جلوگیری از override فایل .htaccess برای دور زدن تنظیمات امنیتی
5- استفاده از suhosin و رول های امنیتی و تعیین کانکشن ها
6- کمتر کردن permission های فایل های /usr/bin/perl و /usr/bin/python
7- کمتر کردن permission های فایل های /bin/ln و /bin/cat و /bin/ls و باقی دستوراتی که برای symlink در پرل و cgi اجرا می شوند .
8- غیرفعال کردن Followsymlinks در وب سرور و .htaccess
9- تغریف کرون جاب برای ست کردن دسترسی 400 برای فایل های کانفیگ اسکریپت ها
10- مطمئن شدن از دسترسی 750 فولدر /home/user/public_html و user:nobody

و .. . .!

- - - Updated - - -

سلام
ازطریق easyapacheمیتونین تیکش رو بزنین و کامپایل کنین تا سیملینک نشه سرورتون
ارادت

این مورد فقط در وب سرور صورت میگیرد و مربوط به وب سرور است

اگر از سمت php یا python / perl / cgi انجام شود این مورد نمیتواند جلوی آن را بگیرد.

- - - Updated - - -

کذوم تیک ؟

Symlink Race Condition Protection

[secureconfig]

سلام.

به موردی که دوستان عزیز فرمودید این راهم اضافه میکنم ،
استفاده از پچ کرنل grsecurity که استفاده از ان کاری تخصصی هست و پیشنهاد میکنم اگر اطلاعاتی ندارید روی سرور تست این را تست کنید.
به کمک grsecurity میتوانید وب سرور و کرنل سیستم عامل را پچ کنید و نیازی به بستن فانکشن یا پرل یا پایتون و محدودیت های اضافه ی دیگر نیست.
لینک اموزشی‌:
SecurityTargets Blog: Hardening CentOS kernel with grsecurity

همچنین خیلی از موارد امنیتی دیگر را نیز میتوانید تنظیم کنید.

موفق باشید./

[meysam021]

سلام.

به موردی که دوستان عزیز فرمودید این راهم اضافه میکنم ،
استفاده از پتچ کرنل grsecurity که استفاده از ان کاری تخصصی هست و پیشنهاد میکنم اگر اطلاعاتی ندارید روی سرور تست این را تست کنید.
به کمک grsecurity میتوانید وب سرور و کرنل سیستم عامل را پتچ کنید و نیازی به بستن فانکشن یا پرل یا پایتون و محدودیت های اضافه ی دیگر نیست.
لینک اموزشی‌:
SecurityTargets Blog: Hardening CentOS kernel with grsecurity

همچنین خیلی از موارد امنیتی دیگر را نیز میتوانید تنظیم کنید.

موفق باشید./

تنها راه جلوگیری تنظیم رول ها هست عزیز ، بعد از مراحل بستن دسترسی کاربر برای روشن کردن یا خاموش کردن موارد امنیتی باید بریم سراغ رول ، بصورتی که فایل شل نات فوند بده وقتی کلیک کنه روش در اینصورت میشه گفت
جلوش گرفته میشه با پچ کرنال هم کامل نمیشه جلوش رو گرفت
اگرم از php 5.3 استفاده میشه پیشنهاد من استفاده صحیح از سیف موده ، صحیح فرق داره با استفاده غلط
تغییر دسترسی پوشه هایی که جناب سنجری هم گفتند
بفرض
/home/user/public_html
برای نمایش ندادن فایل های روت کاربر توسط شل هست.
که واقعا یه چیز جدی هست.
روی یه سرور کانفیگ نشده یه شل به شما میدم از طریق همون مسیر میتونید به همه فایل های کاربر دسترسی خواند داشته باشید.
سیمیلینک مهار شدنی بصورت 100% نیست.
البته برای کسایی که بلدن هک رو هم 100% هست ولی برای غول هکر ها میشه 95% حساب کرد.
ولی با اینکارا 95% تضمینی هست.

[secureconfig]

تنها راه جلوگیری تنظیم رول ها هست عزیز ، بعد از مراحل بستن دسترسی کاربر برای روشن کردن یا خاموش کردن موارد امنیتی باید بریم سراغ رول ، بصورتی که فایل شل نات فوند بده وقتی کلیک کنه روش در اینصورت میشه گفت
جلوش گرفته میشه با پچ کرنال هم کامل نمیشه جلوش رو گرفت
اگرم از php 5.3 استفاده میشه پیشنهاد من استفاده صحیح از سیف موده ، صحیح فرق داره با استفاده غلط
تغییر دسترسی پوشه هایی که جناب سنجری هم گفتند
بفرض
/home/user/public_html
برای نمایش ندادن فایل های روت کاربر توسط شل هست.
که واقعا یه چیز جدی هست.
روی یه سرور کانفیگ نشده یه شل به شما میدم از طریق همون مسیر میتونید به همه فایل های کاربر دسترسی خواند داشته باشید.
سیمیلینک مهار شدنی بصورت 100% نیست.
البته برای کسایی که بلدن هک رو هم 100% هست ولی برای غول هکر ها میشه 95% حساب کرد.
ولی با اینکارا 95% تضمینی هست.

سلام.

فکر میکنم منظور شما انتی شلر هست که شل روی سرور اجرا نشود.

یه شل از سرور بهتون میدم - انتی شلر نداره - disable_funcitons none - سیف مود خاموش - پرل ، پایتون و ... باز کلا هیچ محدودیتی ندارد !
ببینم چطور میتونید نفوذ کنید ! - اگر با این شرایط تمایل داشتید پ.خ دهید تا شل را تقدیمتان کنیم !
--------------------------------------------------------------------------------------------------------------------------
انتی شلر و ... تنها برای جلوگیری از نفوذ به سایت مناسب هست نه سرور ! مثلا اپلود سنتر دیگه روش شل اپ نمیشه و... البته برخی از شلر ها روی انتی شلر نیز کار میکنند !

موفق باشید./

[Yas-Host]

جلوش گرفته میشه با پچ کرنال هم کامل نمیشه جلوش رو گرفت
.

دقیقا

جلوی symlink را تا حدی با محدودیت یا حتی patch کردن کرنل می توان گرفت اما هیچ چیز صدرصد نیست.
جناب حامد مسافر عملا اعلام کردند که هیچ سدی حتی grsecurity یا cloudlinux هم نمی تواند جلوی symlink را بگیرد.

[elementary]

How to Disable Symlinks on linux WHM/cPanel Server ?HostRipples $1 Hosting - Cheap reseller Hosting | HostRipples $1 Hosting - Cheap reseller Hosting

از این روش استفاده کنید ولی اگر به صورت جدی میخواهید سیملینک رو ببندید و کلا از لینوکس غیرفعال کنید باید کامیت های موجود برای غیرفعال کردن سیملینک رو استفاده کنید

اگر چک لیست های امنیتی لینوکس وب هاستینگ رو رعایت کنید اصلا نیازی به بستن سیملینک و .. نیست