کسی طریقه جلوگیری از هک شدن توسط symlink یا دسترسی به فایل های یوزرهای دیگر را بلده

[sodahost]

سلام
دوستان
این را نگاه کنید

کد PHP:

http://ashiyane.org/forums/showthread.php?58209-Open-base_dir-%DA%86%DB%8C%D8%B3%D8%AA-%D8%9F 


با اینکه در یک سرور من Open_basedir را فعال کردم باز این مشکل هست و راحت با شکل می توانم به یک شاخه بالاتر دسترسی داشته باشم و تا مسیر / بروم

[fr0nk]

بستن سایملینک با بستن یک فانکشن به راحتی نیست

در حال حاضر 2 روش برای بستن سیملینک من دیدم که تا حدی جواب داده

1-مورد اول که تو سیپنل استفاده شده و فعال کردن گزینه symlink protection if owner match ( اگه اسم رو درست نوشته باشم ) که از easy apache قابل فعال کردن

2-بستن سایملینک از طریق patch کردن کرنل ( روی کلود لینوکس من بیشتر دیدم انجام بشه ) توضیحات Gresecurity رو بخونید

[secure_host]

قبلا اینجا توضیح کاملی در مورد symlink و روشهای جلوگیریش بحث شده . اونها رو مطالعه کنید به طورکامل می توانید جلوی این حملات را بگیرید.
با تشکر

[Woshka]

symlink rce conditionx هست اسمش موقع کامپایل آپاچی
سرعت توی بنچمارک ها با این ماژول کمتر نشون داده شده
کاملا هم جلوی همه از این نوع حملات رو نمیگیره راه های بای پس کردنش هست
بهترین راه استفاده از کرنل امن و پچ شده مانند GRsecurity یا vanila یا cloudlinux
cloudlinux هم به یک ماژول اضافه نیاز داره و به تنهایی نمی کنه به خاطر همین سرعت سیستم کمی کمتر هستش

[InterServer.ir]

اگه بتونید mod security رو کانفیگ کنید می تونید بعضی از روش های symlink رو ببندید ولی باز 100 % نیست
patch apache هم هست که واسه من رو سرور اختصاصی جواب داد رو سرور وی پی اس جواب نداد البته نیاز به تغییر داره چون برای apache 2.2.23 فکر کنم نوشته شده فقت هرجا تو فایلش 2.2.23 دیدین به نسخه فعلی آپاچه تغییر بدین البته رو آپاچه 2.4.6 تست نکردم می تونی تست کنی

یک راه دیگر بستن دسترسی افراد استفاده از suphp هست و دسترسی 750 برای فولدر هایی که محل فایل کانفیگ و ... هست و دسترسی 640 برای فایل های کانفیگ و مهم

برای بستن این چیزا باید سرور رو محدود کنی و محدودیت بیشتر = مشکلات بیشتر در نصب اسکریپت ها و..
البته به نظر من امنیت مهم تره