جلوگیری از حمله متد Symlink در آپاچی

[OmidX]

دوست عزیز برای هاستینگ نمیشه هاست رو زیاد محدود کرد این موارد که گفتی در موثر بودنش حرفی نیست ( هرچند با روشی که به کلاود لینوکس سیملینک زدم suphp دور زده میشه ) ولی با اینکار ها بسیاری از اسکریپت ها مشکل پیدا می کنند و ارور های متفاوتی میدند.مشتری ها بین یک هاست کلاود لینوکس که هیچ محدودیی در استفاده از فانکشن ها و ... ندارند و هاست سنت او اس با کلی محدودیت کدام رو انتخاب می کنند؟ از این موضوع بگذریم نمیشه برای همه سایت ها php.ini اصلی رو قرار داد مصرف همه سایت ها در مصرف رم یکی نیست تنظیم کردن مصرف رم روی 200 مگ برای همه سایت ها باعث بیشتر مصرف کردن اسکریپت ها میشه و برخی تنظیماتی که برای بعضی سایت ها ضروری هستند ممکن هست روی سایت دیگر مشکلاتی ایجاد کنه .

پچ کرنل سنت او اس به اسم GRSec kernel patch شناخته میشه برای پچ کردن آپاچی هم دو پچ ساخته شده به اسم Bluehost.com patch و Rack911 patch .

هرچند سی پنل Cagefs کلاود لینوکس و mod_ruid + jailshell رو برای رفع این مشکل پیشنهاد داده و بعد از اینها گزینه های پچ کرنل ( به عنوان انتخاب خوب ) و پچ آپاچی قرار داده.

معمولا شرکت های معتبر هاستینگ ایران بدون پچ کرنل سنت او اس از اون برای هاستینگ استفاده نمی کنند هرچند خود من کلاود لینوکس رو بهخاطر امنیت بالاترش ترجیح میدم.

من قبلا از پچ grsecurity برای کرنل سرور استفاده میکردم ... از نظر امنیتی واقعا هیچ حرفی برای گفتن نمیزاره (https://grsecurity.net/compare.php) ، ولی یک ایراد اساسی داره ، اونم اینه ک وقتی ما میایم کرنل رو از نسخه ۲.۶ ب نسخه ۳.۱ بصورت دستی آپگرید و پچ میکنیم ، در آپدیت های بعدی سیستم عامل باید جلوی آپدیت کرنل رو بگیریم !

یعنی در yum.conf کرنل رو جزو exclude package ها قرار بدیم ک آپگرید نشه و اگر بخواید کرنل سرور رو آپگرید کنید باید هر بار بصورت دستی کرنل رو کامپایل و پچ کنید .


برای همین دیگه از این روش استفاده نکردم ، سی پنل mod_ruid + jailshell رو پیشنهاد کرده ، شما این روش رو تست کردید ؟! نظرتون درباره اش چیه کلا ؟