LINUX.ORG.RU
ФорумAdmin

Зашита от WEB SHELL на определенные каталоги.

 , , ,


0

1

Уважаемые знатоки! есть сервер: Ubuntu 14.04 apache-backend + nginx-frontend + php-fpm.

Сервер Apache работает от www-data:www-data

:на сервере стандартный каталог /var/www 

:права sudo chown -R www-data:www-data /var/www
где лежат несколько сайтов:

так вот ситуация: необходимо предоставить доступ

к одному из сайтов к определенному каталогу с темой для мобильной верстке

доступ буду давать по SFTP

пользователь будет изолирован. у по sftp доступ будет только к каталогу /var/www/site.com

НО ЕСТЬ ВОПРОС: какие методы безопасности использовать в случае если спокойно могут залить web shell и исполнить его ссылке.

: при запуске web человек получает доступ не только к сайту, но и ко всем сайтам в /var/www.

: получая доступ к другим сайтам он также берет пароли и логины с конфигов для баз данных, тем самым имеет возможность скачать все SQL.

: также через web shell имеет доступ к /home /etc /var /bin и ко всем остальным.

ЗАДАЧА и ВОПРОСЫ

1. как запретить вызов web shell.

2. если даже исполнят web shell как запретить чтобы за рамки определенного каталога он не мог выйти и прочитать другие каталоги.

3. как защитить SQL что-бы не выкачал.

:::Структура каталогов сайта к которому необходимо дать доступ:

  • site.com
    • bla bla bla
    • bla bla bla
      • sites
        • theme
        • modules
        • settings.php 
       Ищу решение: в случае запуска shell чтобы человек не мог читать 
 и даже видеть каталоги и файлы.! за исключением каталога  theme

      За ранее, Всем Спасибо.

Решили свидомого подешёвке на доработку сайта взять и опасаетесь, что попадётся невменяемый? Если брать по объявлению, а вероятные потери значительны, то это верх идиотизма «пускать козу в огород» и настроить вокруг систему видеонаблюдения. Чтоб та «коза» ходила между капустой, но только ходила, а не ела. Мол, вы наблюдаете и всё видите. Если начнёт жрать, то вы увидите и пресечёте. Запаритесь бегать. Я вас уверяю, что козу в огород надо просто не пускать.

anonymous
()

никак если у человека есть возможность писать скриптики которые исполняются текущим приложением т.к. это даёт ему возможность шариться везде в любом случае.

Noob_Linux ★★★★
()
Ответ на: комментарий от anonymous

Хорошее Решение! будем иметь ввиду.

shrmvl
() автор топика

Сервер Apache работает от www-data:www-data

Что мешает пускать процессы apache и fpm для каждого сайта под своим пользователем?

: также через web shell имеет доступ к /home /etc /var /bin и ко всем остальным.

Что мешает отобрать у пользователя права на чтение ненужных каталогов(оставить право «прохода» - то есть флаг «x», но забрать чтение - «r») и/или настроить SELinux?

TL;DR - не вижу нерешаемости данной задачи. Вижу что кто-то не хочет заморачиваться и тратить время(в случае с тем же SELinux - возможно МНОГО времени) на решение задачи.

как защитить SQL что-бы не выкачал.

Если у пользователя есть доступ на чтение к любому файлу - он его прочитает и/или скопирует, если ему надо. Не, есть конечно DLP-системы, но поверь - ты не захочешь с этим связываться.

Pinkbyte ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin