نمایش نسخه قابل چاپ
سلام دوستان ، کسی می دانید فرق SuPHP و dso در چی هست ؟
چرا dso از نظر CSF خطرناک هست ؟
متن فایروال :
نقل قول:
To reduce the risk of hackers accessing all sites on the server from a compromised PHP web script, you should enable suPHP when you build apache/php. Note that there are sideeffects when enabling suPHP on a server and you should be aware of these before enabling it.
Don't forget to enable it as the default PHP handler in WHM > PHP 5 Handler
بر روی پوشه های با پرمیشن 755 و فایل های با پرمیشن 644 توسط پی اچ پی در suphp کاربر می تونه بنویسه بدون اینکه نیازی به پرمیشن 777 و یا 666 باشه.
و چون در dso این امکان وجود نداره و برای نوشتن کاربر باید پرمیشن فولدرها 777 و فایلها 666 باید بشند، و همچنین وجود پرمیشن های 777 و 666 باگ محسوب میشند، به همین خاطر از نظر csf خطرناک محسوب میشنه !
ممنون از توضیحات کاملت اما من یک مشکل دارم ...
من یک سری فاکشن های خطرناک و ... را بستم وقتی کاربر یک شل آپلود می کنه و یک PHP.ini در هاست خودش ایجاد می کنه همه فکشن ها باز می شه و اطلاعات نمایش داده میشود !
از یکی از دوستان پرسیدم گفت برنامه PHP Safe CGI را روی اپاچی نصب کن که این کار را انجام دادم اما باز هم نشد !
حال یکی از امیر به من گفت بزار روی dso درست میشه ! اینکار روی کردم درست شد !
حالا سر دو راهی گیر کردم !
از این طرف مشکل بر طرف شد از اون طرف یک مشکل دیگه امد !
می خواهم بدونم نمیشه روی SuPHP باشه PHP.ini هم کار نده ! چیکار کنم ؟
دستورهای زیر رو به ترتیب انجام بدید:
1- سییم کالون ها ; رو از اول سه خط بولد شده در فایل زیر حذف کنید
nano /opt/suphp/etc/suphp.conf
[phprc_paths]
;Uncommenting these will force all requests to that handler to use the php.ini
;in the specified directory regardless of suPHP_ConfigPath settings.
application/x-httpd-php=/usr/local/lib/
application/x-httpd-php4=/usr/local/php4/lib/
application/x-httpd-php5=/usr/local/lib/
2- کد زیر رو رو به این فایل اضافه کنید:
nano /usr/local/apache/conf/userdata/suphp.conf
<IfModule mod_suphp.c>
suPHP_ConfigPath /usr/local/lib/
</IfModule>
3- متن موجود در در این فایل رو به روش زیر ادیت کنید و چند خط کد جدید رو به شکل زیر به اون اضافه کنید
nano /usr/local/cpanel/etc/httptemplates/apache2_2/default
<IfModule mod_suphp.c>
suPHP_UserGroup %user% %user%
suPHP_ConfigPath /usr/local/lib/
</IfModule>
4- دستور زیر رو اجرا کنید :
/scripts/ensure_vhost_includes --all-users
5- آپاچی رو ریستارت کنید
و اگر تمام مراحل رو درست انجام داده باشید php.ini از دست یوزرها خارج خواهد شد
موفق باشید
دستت درد نکنه !
اخر شب تستش می کنم !
فقط یک چیزی ! اگر من روی dso تنظیم کنم هکر می توانه به سرور اسیب بزنه یا خیر ؟
منظور این هست که SuPHP چه دسترسی را برای هکر محدود می کنه که dso اون را باز می کنه ؟
اگه روی dso باشه میشه از طریق فایل htaccess. بلاهای خیلی زیادی سر سرور آورد و هم اینکه برای نصب و عملکرد کامل cms ها ، کاربران مجبور میشند که خیلی از فولدر ها رو 777 قرار بدند که این خیلی خطرناکه ! ولی در suphp به پرم 777 نیازی نیست.
خوب از اون نظر هم اگه php.ini برای یوزر ها غیر قابل ویرایش باشه باز هم بعضی ها که php.ini اصلاج شده ی خودشون رو میخواهند داشته باشند به مشکل بر می خوردند
راهی هست که بشه فقط از ویرایش فانکشن های خطرناک جلوگیری کرد ؟
یه راهی هست که میشه به هر کاربر php.ini اختصاصی داد و اونم ساخت تمپلیت های اختصاصی هر کاربری هست که به php.ini اختصاصی نیاز داشته باشه ولی متاسفانه در اکثر سرور ها اون روش کامل جواب نمیده (به همین خاطر آموزشش رو نذاشتم ! ) ولی اگه عمل کنه مدیر سرور میتونه php.ini اختصاصی خارج از دسترس کاربر و در قسمت دیگری از سرور برای هر یوزر یک php.ini بسازه و خودش اونو ادیت کنه.نقل قول:
نوشته اصلی توسط Woshka
شما اگه php.ini در اختیار کاربر بدید، انگاری کل سرور رو دادید دست کاربر!
قسمت دوم را پیدا نکردم !
توی سرور نیست ..
2- کد زیر رو رو به این فایل اضافه کنید:
nano /usr/local/apache/conf/userdata/suphp.conf
<IfModule mod_suphp.c>
suPHP_ConfigPath /usr/local/lib/
</IfModule>
یک فایل php.ini با دستور disable کردن فانکشن ها در سرورتان آپلود کنید، و تست که کنید که کار می کند یا نه؟
همون مرحله اول را که رفتم Internet Server Error امد ...
یک سوال : من الان روی dso گذاشتم خیلی عالیه !
من الان روی dso ست کردم هم php.ini کار افتاده هم htacsss و جالبه هیچ کدام از پرتال ها هم خطای خاصی نمی دهد !
فقط از اخطار فایروال نگران هستم ! نمی دانم واقعا خطرناکه یا نه ! و اگر نه dso خیلی عالیه ! حتی Upload هم بسته ...
نقل قول:
نوشته اصلی توسط IFACO.Net
پاسخ بالایی رو اگر با دقت بخونید متوجه علت اخطار فایروال خواهید شدنقل قول:
نوشته اصلی توسط NovinServer
با SuPHP خیلی بدتر هست !نقل قول:
نوشته اصلی توسط IFACO.Net
الان یکی از دوستام رو بردم روی سرور گفتم چک کن !
چند تا دستور داخل htaccss زد یک php.ini ساخت قشنگ cammand اجرا می کرد و با symlink اکانت ها رو می زد !
بعد که کردم dso گفت دیگه access نمیده هیچی !
حالا به نظر شما من باید چیکار کنم ؟
اگه اون آموزشی که برای غیر فعال کردن php.ini رو در suphp رو که چند پست قبل گذاشته بودم رو کامل و دقیق انجام بدید دیگه هیچ php.ini در سایت ها یتان کار نخواهد کرد !نقل قول:
نوشته اصلی توسط NovinServer
نظر من هم DSO هست و کمی تغییر در httpd.conf برای از کار انداختن فایل های پرل
اگر PHP.ini هم از کار بندازی با SuPHP باز هم میشه از htaccess حمله کرد !نقل قول:
نوشته اصلی توسط IFACO.Net
Upload هم که در SuPHP بازه ! خیلی چیزها در SuPHP بازه که در dso بسته است و دست هکر را می بنده !
الان خیلی عالی هست ! هم upload بسته است هم php.ini هم htaccess ... جوجه هکر ها مخشون میهنگه !
هکر گردن کلفت طرف ما نمیاد ! چون ما خیلی هم بزرگ نیستیم ...
فقط خدا کنه برای کاربران مشکل ساز نشه !
با پرمیشن های 777 و 666 در dso چیکار میخواهید بکنید؟!
الان که کابران شکایتی ندارند ...نقل قول:
نوشته اصلی توسط IFACO.Net
با همون دسترسی ها دارند کار می کنند کسی هم چیزی نگفته !
پرمیشن 777 و 666 خیلی خطرناکه.نقل قول:
نوشته اصلی توسط NovinServer
شما راه بهتری بلدی ...نقل قول:
نوشته اصلی توسط Mostafa
مورد بعدی هم اینکه هیچ ک الان 777 و 666 نکرده ...
روی همون 755 و 644 دارند کار می کنند و هیچ پورتالی هم خطایی نمی دهد !
اگر SuPHP باشه با چند تا دستور ساده کل سرور هک میشه ! شما راهی میشناسی که با SuPHP بشود Upload را بست PHP.ini و Htaccess را غیر فعال کرد ؟
اگر این سه مورد با SuPHP درست بشه عالی هست !
---------- Post added at 06:05 PM ---------- Previous post was at 05:31 PM ----------
ظاهرا صداش در امد ...
اپلودسنتر های روی سرور از کار افتادن ! دوباره مجبور شدم SuPHP کنم ...
من باید چیکار کنم ! چطوری PHP.ini مسدود کنم !
بله ، همهی CMS ها مشکل پیدا میکنند، چه برای ویرایش فایلها (مثلا ادیت قالب در وردپرس) و چه برای آپلود و ... . البته میشه فولدرهای خاصی رو 777 کرد و بقیه رو همون 755 و 644 گذاشت، اما آخرش اینم میشه مثل همون susphp .نقل قول:
نوشته اصلی توسط NovinServer
جطوری من PHP.ini لعنی را ببندم !نقل قول:
نوشته اصلی توسط Mohsen
اعصاب برام نمونده ...! اون راهی هم که دوستمون گفت کردم همه سرور Internet Error خورد ...
این روش رو امتجان کن ببین جواب میده :نقل قول:
نوشته اصلی توسط NovinServer
http://www.webhostingtalk.ir/f10/%D9...61/#post119489
سلام
php سرورم رو dso هست . چطوری میتونم رو suphp بذارم ؟ (direct admin رو سرورم نصبه )
بدرود .