جلوگیری از اجرا شدن شل در سرور لینوکس و هاست

[IrIsT]

سلام.

طبق تجربه ای که من داشتم ، بستن فانکشن ها باعث جلوگیری از اجرا و یا مشکل دار شدن اسکریپت ها میشه.

نکته ای که این وسط هست اینه که هدف از بستن فانکش - بستن پرل و پایتون و ... ،‌ فقط جلوگیری از ایجاد سیملینک فکر میکنم باشه.
که سیملینک بدون کل اینا ، بازم قابل اجرا هست. به قول دوست عزیزمون بای پس میشه.

پیشنهاد من برای داشتن امنیت بالا ، استفاده از کلود لینوکس هست که بدون نیاز به تغییرات خاصی ، امنیت رو در برابر سیملینک و ... تامین میکنه. همچنین قابلیت lve باعث جلوگیری از down شدن سرور در اثر مصرف زیاد کاربران میشه.

درواقع امنیت زمانی نیاز هست و خوب هست که کاربر/سایتی توی سرور باشه. که با این همه محدودیت مطمینا ۹۰٪ اسکریپت های رایج به مشکل بر میخورن و کاربر ها مجبور به انتقال به هاستینگ های خارجی میشن که هیچ محدودیتی ندارن.(بعضا)

سلام و درود.
اول گفتین که :

طبق تجربه ای که من داشتم ، بستن فانکشن ها باعث جلوگیری از اجرا و یا مشکل دار شدن اسکریپت ها میشه.

که کاملا درسته و تجربه خوبی داشتین.حرفتون تایید میشه
اما این گفته :

نکته ای که این وسط هست اینه که هدف از بستن فانکش - بستن پرل و پایتون و ... ،‌ فقط جلوگیری از ایجاد سیملینک فکر میکنم باشه.
که سیملینک بدون کل اینا ، بازم قابل اجرا هست. به قول دوست عزیزمون بای پس میشه.

بله.کلا این تاپیک بحث امنیت هستش که داریم در رابطه با اون صحبت میکنیم.فکر نکنید.مطمون باشید که هدف بالابردن سطح امنیت هستش.
نگاه کنید,زمانی که ما میگیم یکی به سرور یا هاست ما نفوذ کرده,اول باید ببینیم از کجا نفوذ کرده.خوب وقتی نفوذ و روش هاشو بدوندی,میتونید تا حدود خیلی خوبی جلوی این حملات رو گرفت.پرل و پایتون که کلا برای اجرای فرامین و همچنین دسترسی شل و اجرا شدن اسکریپت ها و شل ها و .... مربوط به این هاست و حتی با استفاده از این پرل و پایتون و .... به صورت لوکال میشه ضربه بدی به سرور زد.خوب راه حل چیه؟الان گفتیم.لازم نداریم نصب نکنیم.لازم داریم نصب کنیم اما پرمیشن روت بهش بدیم و سطح دسترسی فقط برای روت باشه.
یک مشکلی که من زیاد دیدم,chown ها هستش.
با یک کانفیگ بسیار اشتباه,بعضی ها کلا میان chown هارو کلا روت میکنن یا یک یوزر دیگه..خوب معلومه راحت میشه حتی با یک اسکریپت که هیچ اسکنری جلوشو نمیگیره,کل کانفیگ هارو ذخیره کرد.حالا شما cxs نصب کن یا هر چیزی.یا بگو سرورم شل احرا نمیکنه.
بیشترین ضعفی که ما داریم اینه که اصولی عمل نمیکنیم و توقع داریم امنیت خوب باشه.ما برای هر سروری,یک کانفیگی انجام میدیم.یکی رو دیده بودم برای دایرکت ادمین کانفیگ سی پنل زده بود.یا یک چیزی رو ما میریم از سایت ها پیدا میکنیم و میزنیم.بعد توی سایت هامون میزنیم امنیت سرور,به صورت یکبار 7000000000000 ت همراه با یک هفته تست.
امنیت فراتر از این آموزش و این روش هاست که هنوز هیچ کسی در دنیا نمیتونه ادعا کنه که من کامل بحث امنیت رو میدونم.
حتی واسه اینکه کارمون رو راحت کنیم.میگیم مثلا lve و کلود لینوکس مینصبیم.اصلا ساختار کلودلینوکس چطوریه؟یعنی اگه کلودلینوکس نباشه نمیتونیم جلوشو بگیریم؟چرا باید لقمه آماده بهمون بدن؟
ما باید خودمون راهشو بدونیم.
واسه کنترل پنل دایرکت ادمین,8 ماه فقط 24 ساعته تست میکردم و کار میکردم که فقط بتونم کانفیگ کامل امنیتی مربوط به این کنترل پنل حالا با هر روشی که کمپایل شده,رو کامل بدونم که وقتی گشتم,اول فکر میکردم امنیت این چیزایی هستش که چک لیست میدن یا دیزیبل فانکشن و ... هستش.اما بخدا امنیت این نیست.وقتی تونستیم همگی با کمک هم کاری کنیم که بدون کلادلینوکس یا اینطور سرویس ها,جلوی حملات رو بگیریم,اون موقع میتونیم بگیم امنیت کاریم.
خوشحال میشیم دوستان دیگر هم شرکت کنند.