1. Форумы
  2. Общие сведения
  3. Обсуждение
  1. Энди
  2. Воскресенье, 04 августа 2019
  3. Подписка по электронной почте
Вышеуказанный вопрос упрощен. Реальные вопросы ниже в конце намного сложнее. Примечание. У меня нет удобного сервера Linux, поэтому я полагаюсь на документацию и, следовательно, на эти вопросы.

проверка данных

На других серверах (и, возможно, cloudlinux) apache работает как пользователь apache (или никто).

При использовании mod_php (или одного из других обработчиков php без suexec или эквивалентного) все php-файлы выполняются как пользовательские apache, и это имеет последствия для безопасности, так как в системе без клетки пользователь может читать файлы других пользователей и т. Д. Однако Собственные файлы пользователя не могут быть перезаписаны или удалены, или файл может быть добавлен, если разрешения не позволяют этого. Это спасло меня от случая, когда хакеру удалось воспользоваться ошибкой и попытаться изменить один из файлов моего веб-сайта или добавить файл в защищенный каталог.

Использование других обработчиков php с suexec или эквивалентными средствами означает, что процесс apache эффективно работает как пользователь и, следовательно, не может читать файлы других пользователей и т. Д., Если их разрешения не позволяют этого. Однако любой хакер, которому удается использовать ошибку, может изменить собственные файлы пользователя.

Для cloudlinux использование системы cagefs не позволяет пользователям видеть файлы других пользователей. Таким образом, упрощенно кажется, что если вы используете cagefs, вам не нужно запускать apache от имени пользователя. Запустив apache от имени пользователя apache, вы получите дополнительный уровень защиты, если ваши права доступа к файлам и каталогам установлены правильно.

Модификации, необходимые для запуска Apache как Apache

Следующее основано на использовании обработчика mod_lsapi php.

1) Согласно документации для mod_lsapi (https://docs.cloudlinux.com/apache_mod_lsapi) это может быть достигнуто для файлов php путем изменения файла lsapi.conf по умолчанию следующим образом (обратите внимание, что это не было проверено и может быть неверным):

lsapi_use_suexec off

# следующее может быть необходимо, чтобы это работало
lsapi_check_document_root off


2) Для файлов cgi (которые я не использую) выключите suexec следующим образом:

а) для cpanel https://help.myhosting.com/hc/en-us/articles/360002392424--cPanel-Enable-or-Disable-Apache-suEXEC-and-suPHP.

б) В противном случае измените конфигурации виртуального хоста в vhost.conf или аналогичном, отключив директиву SuexecUserGroup.

<VirtualHost *: 80>
DocumentRoot "/ home / example / public_html"
ServerName example.com
ServerAlias http://www.example.com
#SuexecUserGroup пример пример
...
</ VirtualHost>


3) Наконец, измените владельца и права доступа к файлам и каталогам, которые должны быть прочитаны (или записаны), чтобы apache мог их читать (или записывать), а в случае файлов cgi - выполнять их. Вы можете сделать это, добавив необходимые разрешения для группы apache и изменив группу файла на группу apache. В зависимости от сервера группа apache может быть «apache» или «nobody»

Например, для пользователя «owner» и группы «apache» установите права доступа к файлу следующим образом.

NB Я понимаю, что большинство людей, читающих этот форум, являются экспертами, но это для странного новичка.

а) Для файлов, которым необходимо разрешение на чтение, например exampleFile.php

Владелец exampleFile.php apache rw-r -----

b) Для файлов cgi, которым требуется разрешение на выполнение, например exampleFile.cgi

exampleFile.cgi владелец apache rwxr-x ---

c) Для каталогов, которым необходимо разрешение на чтение, например exampleDirectory

Владелец exampleDirectory apache rwxr-x ---

d) Для каталогов, которым необходимо разрешение на запись, например, в следующем примере uploadImageDirectory

uploadImageDirectory владелец apache rwxrwx ---

e) Для файлов в uploadImageDirectory, которым требуется разрешение на запись, например, uploadedImage.jpg

uploadedImage.jpg владелец apache rw-rw ----

Вопросы

1) Работают ли вышеуказанные изменения или необходимы другие изменения, чтобы заставить их работать как задумано?

С учетом вышеуказанных изменений (и всего, что нужно, чтобы они работали как положено):

2) Работает ли cagefs для сценариев PHP (Документация https://docs.cloudlinux.com/cagefs неясно)?
3) cagefs все еще работает для CGI-скриптов?
4) Работает ли LVE для сценариев PHP (Документация https://docs.cloudlinux.com/limits/#compatibility-matrix неясно) ?
5) Работает ли LVE для сценариев CGI (это может быть связано https://www.cloudlinux.com/forum/forum18/lsapi-cagefs-no-suexec#reply-8443)?

Спасибо за рассмотрение этих вопросов.

ура
Энди
Оценить этот пост:
  1. 05.08.2019 15:08:23
  2. # 1
Сергей Христич Принято ответа
Сообщений: 115
Присоединился: 20.05.2019
0
Голосов
расстегивать
Привет Энди! Мы работаем над этим вопросом.
Вернемся к вам позже с ответом.
Благодаря!
Менеджер по маркетингу
  1. 05.08.2019 19:08:42
  2. # 2
Катя Гречишкина Принято ответа
Сообщений: 20
Присоединился: 13.04.2019
0
Голосов
расстегивать
Здравствуйте,
Когда вы настраиваете PHP для запуска в качестве пользователя Apache, CageFS не будет работать для этих пользователей PHP. То же самое верно для сценариев CGI.
LVE будет иметь ограниченную поддержку, например, ограничения памяти не будут работать, но другие ограничения могут быть установлены для работы с mod_hostinglimits:
Для установки потребуются следующие директивы mod_hosting:
LVEId
LVEUser
--
https://docs.cloudlinux.com/limits/#directives
  • Страница:
  • 1


Там нет ответов, сделанные на этот пост пока нет.
Будьте одним из первых, чтобы ответить на этот пост!
гость
Отправить Ваш ответ
Загрузить файлы или изображения для обсуждения этого вопроса, нажав на кнопку загрузки ниже. опоры GIF, JPG, PNG, ZIP, RAR, PDF
• Вставить • Удалить Загрузка файлов (Максимальный размер файла: 2 MB)
Защитный код
Чтобы защитить сайт от ботов и несанкционированных сценариев, мы требуем, чтобы вы ввели коды капчи ниже, прежде чем отправить свой вопрос.