سلام
جهت افزایش امنیت و جلوگیری از سیملینک
طبق آموزش سی پنل:
Symlink Race Condition Protection (http://docs.cpanel.net/twiki/bin/view/EasyApache/Apache/SymlinkPatch)
موقع استفاده از easyapache
این گزینه رو تیک بزنید:
Symlink Race Condition Protection
طبق سایت گفتند که:
باعث کاهش سرعت میشه در سرور های شلوغ
سوالی بود در خدمتم
mh1376
March 31st, 2013, 04:09
عزیزم سیملینک قابل برداشتن نیست . فقط این پرم میده ولی با یه بایپس ساده توی useragent میشه دسترسی محلی گرفت مثل این
<? exec(chmod +x folder,chmod 777 folder :);?> ابنو یند کنی بهت دسترسی میده کلا این سیملینک چیزی هست که توی هسته لینوکسه و اصلا با اون کار میکنه مثل شورت کات ویندوز هست
j4b3r
March 31st, 2013, 04:23
سلام
سیملینک جزو هسته هست
گفتم حل مشکل نگفتم که برداشتن سیملینک !!!!!!!
که برای سرورهای اشتراکی هست
و سیملینک در سایر نقاط سرور درست کار میکنه
mh1376
March 31st, 2013, 04:29
بله درست میفرمایید . برای بستن سیملینک باید یه پارتیشن توی دو بسازید کلا سیملینک تو هاست میپره چون به خطلا میره یعنی یه سیملینک دیگه بیرون پارتیشن بزنید و پارتیشن هاست هارو توی همون پارتیشن
بزارید . دیگه کسی سیملینک نمیتونه بزنه
j4b3r
March 31st, 2013, 04:34
بله درست میفرمایید . برای بستن سیملینک باید یه پارتیشن توی دو بسازید کلا سیملینک تو هاست میپره چون به خطلا میره یعنی یه سیملینک دیگه بیرون پارتیشن بزنید و پارتیشن هاست هارو توی همون پارتیشن
بزارید . دیگه کسی سیملینک نمیتونه بزنه
روش شما رو برای اولین بر خوندم.
خب با اسن روش شما که به بقیه فایل های روی پارتیشن میشه دسترسی داشت!!
mh1376
March 31st, 2013, 15:53
این اطلاعات رو توی یه htaccess بزارید
Options all DirectoryIndex Sux.html AddType text/plain .php AddHandler server-parsed .php AddType text/plain .html AddHandler txt .html Require None Satisfy Any
بعد یه پوشه لینک به نام روت کنار این فایل بسازید بعد توی بورز بازش کنید به کل پوشه های سرور دسترسی روست دارید برای خوندن و پیدا کردن فایل اطلاعات پسورد میشه دسترسی روت گرففت
fr0nk
March 31st, 2013, 16:32
الان این روش اخر بایپس sym بود یا جلوگیری یا نحوه روت شدن به سرور :s
در کل Symlink قابل جلوگیریه،این روش رو تست نکردم ولی برای CloudLinux میشه از کرنل پچ کرد (توضیحات GreSecurity یا سایت Abbyssec (شاهین رمضانی و حسین عسگری-سیمرغ) رو بخونید)
البته راه نمیشه گفت برای بایپسش نیست ولی کارو بسیار بسیار مشکل میکنه ( از کرنل جلوگیری میکنه اگه Symlink Owner Match نباشه)
Parsavps.com
March 31st, 2013, 16:38
سلام این
سیملینک که ما دیدم به راحتی نمیشه جلوشو گرفت
البته اگه وب سرورتون خوب کنفیگ بشه همه کس نمیتونه سیمیلنک کنند
nginxweb
March 31st, 2013, 16:39
روی دایرکت ادمین بسیار از نطر امنیت بهتر میشه کار کرد و بروز تر هم هستش و مشکل symlink رو میشه تا 95% اوکی کرد
fr0nk
March 31st, 2013, 17:24
Grsecurity/Appendix/Grsecurity and PaX Configuration Options - Wikibooks, open books for an open world (http://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options)
این لینک رو مطالعه کنید مفیده
پچ Symlink از طریق کرنل
sadegh.nikaein
March 31st, 2013, 17:34
Grsecurity/Appendix/Grsecurity and PaX Configuration Options - Wikibooks, open books for an open world (http://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options)
این لینک رو مطالعه کنید مفیده
پچ Symlink از طریق کرنل
بهترین راه هست البته selinux هم هست که خیلی کار کردن باش سخته .
fr0nk
April 1st, 2013, 13:01
کار کردن باش خیلی سخته بله از چون تا حالا کسی هیچ کاری باش نکرده
تهش اگه مشکلی پیش بیاره میگیم خاموش کنید
البته من در مورد جلوگیری Sym از طریق Selinux چیزی نمیدونم اگه مقاله ای لینکی دارید ممنون میشم قرار بدید
tizparvaz
April 1st, 2013, 21:35
این اطلاعات رو توی یه htaccess بزارید
Options all DirectoryIndex Sux.html AddType text/plain .php AddHandler server-parsed .php AddType text/plain .html AddHandler txt .html Require None Satisfy Any
بعد یه پوشه لینک به نام روت کنار این فایل بسازید بعد توی بورز بازش کنید به کل پوشه های سرور دسترسی روست دارید برای خوندن و پیدا کردن فایل اطلاعات پسورد میشه دسترسی روت گرففت
این روش با آپدیت آپاچی پچ شده و کار نمیکنه :) روی سرورهای آپدیت شده تست کنید عمل نمیکنه و ارور Forbidden مواجه میشید
mh1376
April 4th, 2013, 03:34
عزیزم اپاچی چه ربطی به کرنل لیونکس داره .شما اپاچی رو توی ویندوز نصب کن این سیستم غیرفعاله زمپ و ومپ هم همینطور شل بریز کارنمیکنه این سیملینک فقط توی لینوکس هست . و برای غیرفعال کردنش باید از پچ
2.6.39 nl webserver هست که کلود لینوکس خودمونه باید هزینه کنی یا رد هت توی سنت او اس اگه این رو غیر فعال کنی دیگه با دستور ساده نمیتونی کار کنی مثلا اگه دستور اجرای وی ان سی اینه
vncserver
باید بنویسی
cd /dev1/program/vnc/
vncserver
این سیملینک واسه همچین کارایی هست ولی اگه میخوای مشتریات سیم نزن
کارزیاد داره میتونم کمکتون کنم
سیم زدن رو از توی قسمت هوم برمیدارم