-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Shared Hosting Security
- Автор темы Yurik
- Дата начала
andreyb
Guest
А мы видно этот патч не увидим?Автор оригинала: fixxxer
В общем, я тут зациклился на патчах и был неправ, ибо сам я форкаю апачи под нужным юзером, сделав ugly ugly patch FreeBSD, позволяющий setuid/setgid 80-му UIDсорри.
ClayRabbit
Guest
fixxxer
anight
Хорошая идея, кстати. Подумаю на досуге...
anight
Т.е. для каждого VirtualHost постоянно должны быть запущены отдельные процессы php-fastcgi , я правильно понимаю? Так ведь эдак, наверное, никакой памяти не хватит...
anight
Новичок
памяти не хватит только если будет простаивать слишком много процессов, а на некоторые VH хватать не будет. Это можно достаточно просто исправить если добавить в php что-то вроде scoreboard (как в apache), для того чтобы родитель fastcgi мог динамически прибивать / рожать процессы по необходимости.
по сравнению с преимуществами технологии - overhead можно вообще не учитывать. мне кажется php fastcgi будет всего на 0-10% медленнее mod_php.
ar2r
Guest
Недавно видел еще одно решение (вам в копилку):
Апач работает от uid/gid 1000/1000 и все пользователи в системе принудительно создаются с uid/gid - 1000/1000
Впролне приемлимое решение для какогонить фрихостинга с Apache+PHP only. При этом всех можно запереть внутри своей директории (open_basedir) и отпадает проблема прав на файлы, созданные апачем
Апач работает от uid/gid 1000/1000 и все пользователи в системе принудительно создаются с uid/gid - 1000/1000
Впролне приемлимое решение для какогонить фрихостинга с Apache+PHP only. При этом всех можно запереть внутри своей директории (open_basedir) и отпадает проблема прав на файлы, созданные апачем
ar2r
Guest
2fixxxer:
это сарказм? - ты видишь какие-то подводные камни что я не углядел?)
это сарказм? - ты видишь какие-то подводные камни что я не углядел?)
.zZz.
Новичок
А кто-нибудь пользовал http://www.suphp.org/ ? Интересует такой ньюанс: последний релиз от 2004-07-13 - это значит, что он совершенен
или просто автор забил на него?Риск использования больно велик...
romanenco
Guest
никто не в курсе как модифицируется сервер после установки продукта от cpanel.org?
вроде у них очень популярное решение...
вроде у них очень популярное решение...
young
Новичок
>> http://httpd.apache.org/docs-2.0/mod/perchild.html
полностью
господа, так что же
неужели нет нормального решения?
полностью
господа, так что же
неужели нет нормального решения?
ClayRabbit
Guest
Увы, все чего смог выдумать за это время - маленький патчик для PHP, который устраняет неудобства обычно возникающие при работе с файлами под safe_mode (суть - обезопашеный safe_mode_gid). Если кому интересно - могу поделиться.
(Проблему невозможности вызова произвольных приложений из под safe_mode это конечно же не решает.)
Правда все мы знаем, что safe_mode - не очень надежное решение и регулярность обнаружения уязвимостей позволяющих обходить данное ограничение это подтверждает.
Т.ч. альтернативы FastCGI наверное все еще нету?
-~{}~ 06.11.05 18:04:
Да и в случае бюджетного шаред-хостинга, не очень хорошая альтернатива, насколько я понимаю...
-~{}~ 06.11.05 18:05:
Нет. Не так. Я хотел сказать:
В случае бюджетного шаред-хостинга, FastCGI - не очень хорошая альтернатива, насколько я понимаю...
(Проблему невозможности вызова произвольных приложений из под safe_mode это конечно же не решает.)
Правда все мы знаем, что safe_mode - не очень надежное решение и регулярность обнаружения уязвимостей позволяющих обходить данное ограничение это подтверждает.
Т.ч. альтернативы FastCGI наверное все еще нету?
-~{}~ 06.11.05 18:04:
Да и в случае бюджетного шаред-хостинга, не очень хорошая альтернатива, насколько я понимаю...
-~{}~ 06.11.05 18:05:
Нет. Не так. Я хотел сказать:
В случае бюджетного шаред-хостинга, FastCGI - не очень хорошая альтернатива, насколько я понимаю...
Doktor
Новичок
А по подробнее?Автор оригинала: fixxxer
В best-hosting.ru сейчас так и сделано. По историческим причинам во многом. Проблем с этим достаточно...
1) http-авторизация
2) .htaccess
3) apache-specific функции
4) частичная несовместимость http headers
...
п.1,4 и частично 3 решены (через жопу)...
shellcode
Новичок
Приветствую всех, хочу рассказать как решил проблему безопасности у себя.
OS: Solaris 10 x86
Apache: 2.0.5x
mod_php: 4.x
mod_security
-------------------------------------------------------
Задача:
1) Каждый вирт хост должен обслуживаться форкнутым процессом апача под своим UID/GID
2) Каждый форкнутый процесс апача должен быть зачрутен в папке вирт хоста.
3) Апач должен запускаться не от рута а от стандартного пользователя.
4) Внутри chroot'го вирт хоста пхп должен уметь отправлять почту и конектица к mysql.
Был написан свой MPM модуль для апача, проблема запуска апача не от рута решается просто встроенными средствами соляриса, для этого ненужно ни патчей ничего, все просто и быстро.
Для того чтобы пхп скрипт выполняемый в вирт хосте (а процессу делается чрут на "лету") мог отправлять письма был написал простой smtp клиент, ктсати, таким образом можно элегантно решить проблемы спама через скрипты. Т.е. дял каждого вирт хоста создается отдельный мыл акант для отсылки писем вебсервером.
MySQL. пхп ходит к базе на порт, с сокетом тут ясное дело облом.
Итого, запущеный веб шел на поломанном вирт хосте неможет
1) cat /etc/shadow и вопще cat /чтонибуть, в чруте нету _ниодного_бинарника_.
2) Рута получить невозможно в принципе, все работает от пользователей, (особенность соляриса 10 в контейнере юзер неможет создать устройство и т.п. т.е. вменяемый чрут )
3) Невозможно выйти из каталога вирт хоста.
4) Невозможно повредить/просмотреть другие хосты.
И при всем при этом mod_php работает не в safe_mod и ненакладывает подчас жутко ниудобных огранчиений для юзеров желающих использовать распространенные и дырявые скрипты.
Производительность
Конфигурация сервера 2xOpteron 1.6 GHz 800-1300Mb _USED_ RAM (на 15 высоконагруженных сайтов - одновременно примерно 250-300 On-Line юзеров.)
Total: 568 processes, 726 lwps, load averages: 0.91, 0.82, 0.73
В данный момент все это работает уже как пол года на веб сервере с нагрузкой ~15 000-25 000 уникальныйх посетителей в _сутки_ (примерно 2-2.3ТБ трафика в месяц).
Если есть желающие потестировать
1) У вас должен быть Solaris 10 x86
2) Исходники я не предоставляю (возможно позже, после аудита кода на безопасность), пока только скомпилированную версию.
e-mail: [email protected]
OS: Solaris 10 x86
Apache: 2.0.5x
mod_php: 4.x
mod_security
-------------------------------------------------------
Задача:
1) Каждый вирт хост должен обслуживаться форкнутым процессом апача под своим UID/GID
2) Каждый форкнутый процесс апача должен быть зачрутен в папке вирт хоста.
3) Апач должен запускаться не от рута а от стандартного пользователя.
4) Внутри chroot'го вирт хоста пхп должен уметь отправлять почту и конектица к mysql.
Был написан свой MPM модуль для апача, проблема запуска апача не от рута решается просто встроенными средствами соляриса, для этого ненужно ни патчей ничего, все просто и быстро.
Для того чтобы пхп скрипт выполняемый в вирт хосте (а процессу делается чрут на "лету") мог отправлять письма был написал простой smtp клиент, ктсати, таким образом можно элегантно решить проблемы спама через скрипты. Т.е. дял каждого вирт хоста создается отдельный мыл акант для отсылки писем вебсервером.
MySQL. пхп ходит к базе на порт, с сокетом тут ясное дело облом.
Итого, запущеный веб шел на поломанном вирт хосте неможет
1) cat /etc/shadow и вопще cat /чтонибуть, в чруте нету _ниодного_бинарника_.
2) Рута получить невозможно в принципе, все работает от пользователей, (особенность соляриса 10 в контейнере юзер неможет создать устройство и т.п. т.е. вменяемый чрут )
3) Невозможно выйти из каталога вирт хоста.
4) Невозможно повредить/просмотреть другие хосты.
И при всем при этом mod_php работает не в safe_mod и ненакладывает подчас жутко ниудобных огранчиений для юзеров желающих использовать распространенные и дырявые скрипты.
Производительность
Конфигурация сервера 2xOpteron 1.6 GHz 800-1300Mb _USED_ RAM (на 15 высоконагруженных сайтов - одновременно примерно 250-300 On-Line юзеров.)
Total: 568 processes, 726 lwps, load averages: 0.91, 0.82, 0.73
В данный момент все это работает уже как пол года на веб сервере с нагрузкой ~15 000-25 000 уникальныйх посетителей в _сутки_ (примерно 2-2.3ТБ трафика в месяц).
Если есть желающие потестировать
1) У вас должен быть Solaris 10 x86
2) Исходники я не предоставляю (возможно позже, после аудита кода на безопасность), пока только скомпилированную версию.
e-mail: [email protected]