جلوگیری از حمله متد Symlink در آپاچی

[InterServer.ir]

سلام
من منظورتونو بازم از پتچ های کرنل و آپاچی نمیفهمم
یک لینکی هست که نوشته پتچ امنیتی کرنل.اونو میگید که نصب میشه؟
من روی دایرکت میتونم عملی بهتون نشون بدم که با روش های ساده,خیلی خوب میشه جلوشو گرفت.
همه این مراحلی که گفتم ملکمل هم هستن.
شما گفتی گزینه اول رو رفتم جواب نداد و بایپس شد.گزینه دوم هم نشد و بایپس شد
نگاه کنید,شما استاد مایین.اماا اینو به عنوان برادر کوچکتر جمع.چون خیلی تو یحبث سرور من کنجکاور بودم و به خیلی چیزا رسیدم که حتی داخل سایت مرجع هم نیست
اما همه اینا مکملن
شما openbase و دیزیبل فانکشن و سیف رو بزن.فانکشن های خوب.
بعدش بیا یا suphp یا ماژول های دیگه نصب کن برای اینکه گروههای کاربری مشخص شه
بعد میای flowsymlink و چیزای دیگم انجام میدی.
اینطوری جلوی 90% حمله های سرور رو گرفتی.یک راههایی هست.هم دوست دارم بذارم.هم اینکه دلم نمیاد از الان عمومیش کنم.
اما خیلی ساده میشه جلوی خیلی از سیم لینک هارو گرفت.فقط مجوز ها درست باشه و اینکه هرکسی دسترسی به همه جا نداشته باشه
کلودلینوکس مثل لقمه آماده هستش.اما تاحالا چک کردین ببنید چطور کار میکنه؟
گفتم,من شخصا کار همین کلودفایر رو تک تک انجام دادم.اما خودش نصب نیست.
راه های امنیتی خیلی زیاده.الان یکی از روش های سیملینک شل های cgi و py هستش که روی سرورها اجرا میشه و میشه سیم لینک زد.همچنین مشکلات امنیتی خود کنترل پنل ها
مثلا سی پنل الان باگ داره.دایرکت هم که باگ هاشو میدونی که باید بعضی قسمت هارو برای کاربران محدود کنید.

دوست عزیز برای هاستینگ نمیشه هاست رو زیاد محدود کرد این موارد که گفتی در موثر بودنش حرفی نیست ( هرچند با روشی که به کلاود لینوکس سیملینک زدم suphp دور زده میشه ) ولی با اینکار ها بسیاری از اسکریپت ها مشکل پیدا می کنند و ارور های متفاوتی میدند.مشتری ها بین یک هاست کلاود لینوکس که هیچ محدودیی در استفاده از فانکشن ها و ... ندارند و هاست سنت او اس با کلی محدودیت کدام رو انتخاب می کنند؟ از این موضوع بگذریم نمیشه برای همه سایت ها php.ini اصلی رو قرار داد مصرف همه سایت ها در مصرف رم یکی نیست تنظیم کردن مصرف رم روی 200 مگ برای همه سایت ها باعث بیشتر مصرف کردن اسکریپت ها میشه و برخی تنظیماتی که برای بعضی سایت ها ضروری هستند ممکن هست روی سایت دیگر مشکلاتی ایجاد کنه .

پچ کرنل سنت او اس به اسم GRSec kernel patch شناخته میشه برای پچ کردن آپاچی هم دو پچ ساخته شده به اسم Bluehost.com patch و Rack911 patch .

هرچند سی پنل Cagefs کلاود لینوکس و mod_ruid + jailshell رو برای رفع این مشکل پیشنهاد داده و بعد از اینها گزینه های پچ کرنل ( به عنوان انتخاب خوب ) و پچ آپاچی قرار داده.

معمولا شرکت های معتبر هاستینگ ایران بدون پچ کرنل سنت او اس از اون برای هاستینگ استفاده نمی کنند هرچند خود من کلاود لینوکس رو بهخاطر امنیت بالاترش ترجیح میدم.

من قبلا از پچ grsecurity برای کرنل سرور استفاده میکردم ... از نظر امنیتی واقعا هیچ حرفی برای گفتن نمیزاره (https://grsecurity.net/compare.php) ، ولی یک ایراد اساسی داره ، اونم اینه ک وقتی ما میایم کرنل رو از نسخه ۲.۶ ب نسخه ۳.۱ بصورت دستی آپگرید و پچ میکنیم ، در آپدیت های بعدی سیستم عامل باید جلوی آپدیت کرنل رو بگیریم !

یعنی در yum.conf کرنل رو جزو exclude package ها قرار بدیم ک آپگرید نشه و اگر بخواید کرنل سرور رو آپگرید کنید باید هر بار بصورت دستی کرنل رو کامپایل و پچ کنید .


برای همین دیگه از این روش استفاده نکردم ، سی پنل mod_ruid + jailshell رو پیشنهاد کرده ، شما این روش رو تست کردید ؟! نظرتون درباره اش چیه کلا ؟

مشکلش با مد سکیوریتی هست انگار و اینکه برخی موارد روی mod_ruid غیر فعال میشند . من تستش نکردم چون اون زمان از شل اسکنر cxs استفاده می کردم همونطور که می دونید این شل اسکنر با مد سکیوریتی کار میکنه و مشکلی برای مد سکیوریتی پیش بیاد کارکردش دچار مشکل میشه.