CloudLinux - Изоляция арендатора с CageFS
Начать работу с CloudLinux OS

Здесь мы представим вам одну из самых важных функций CloudLinux - CageFS.

CageFS - это виртуализированная файловая система и набор инструментов для блокировки каждого пользователя в собственной «клетке». Каждый клиент будет иметь свою собственную функциональную систему со всеми системными файлами, инструментами и т. д.

Многие люди пытаются сделать хостинг безопасным с помощью файла php.ini - это дает некоторые результаты, но ограничения PHP.ini часто легко обойти. Кроме того, они не будут работать вообще для сценариев CGI. Именно поэтому мы решили разработать более эффективный инструмент для повышения безопасности на сервере и создали CageFS.

CageFS имеет много преимуществ, таких как:

  • для пользователя доступны только безопасные двоичные файлы
  • пользователь не увидит других пользователей и не сможет обнаружить присутствие других пользователей и их имен на сервере
  • пользователь не сможет видеть файлы конфигурации сервера, такие как файлы конфигурации Apache
  • пользователь будет иметь ограниченное представление о файловой системе / proc и не сможет видеть другие процессы пользователей
  • в то же время среда пользователя будет полностью функциональна, и пользователь не будет чувствовать себя ограниченным каким-либо образом, никаких корректировок для пользовательских скриптов не потребуется.

Установка достаточно проста, просто выполните:

yum install cagefs

Теперь инициализируйте CageFS командой:

cagefsctl --init

И включите его глобально для всех пользователей:

cagefsctl --enable-all

Сегодня для злоумышленников тривиально использовать взломанные веб-приложения для развертывания PHP Shell. Проверяя какой-либо простой скрипт PHP Shell для пользователя без cagefs, вы можете заметить, что он может видеть всех пользователей из / etc / passwd, он может читать полный файл конфигурации apache, и определять домены, размещенные на том же сервере, а также локальные пути. Однако, как только пользователь добавляется в cagefs, он увидит только пользователей системы и себя в / etc / passwd. Кроме того, он не может читать конфиги apache и т. д.

Некоторое программное обеспечение должно быть запущено за пределами CageFS, чтобы иметь возможность выполнить свою работу. Сюда входят такие программы, как passwd, sendmail и т. д. CloudLinux использует технологию proxyexec для достижения этой цели. Вы можете определить любую программу для запуска вне CageFS, указав ее в файле /etc/cagefs/custom.proxy.commands.

Для получения более подробной информации о CageFS, посетите эту страницу.


  • Plesk
  • DirectAdmin
  • Cpanel