проприетарщина ISPmanager + mod_chroot

0

0

Имеем shared-хостинг
Свыше было сказано, сделать так, что б у пользовательских скриптов не могло быть доступа куда не надо (т.е. к системным файлам, и каталогам, к пользовательским файлам не относящимся).
Оптимальным решением показался mod_chroot, с чрутом в /home/ и сайты вполне себе заработали, но отвалилась к чертям означенная панель управления сервером ISPmanager, запускаемая из под апача. Оно и понятно, как минимум по причине изменения путей, но тупо скопировать каталог с потрохами ISMm в область видимости апача, обратив внимание на актуальность путей, не помогло. А панель нужна, а то никакого хостинга не будет =(.

Есть ли у кого предложения, как можно решить либо общую проблему с безопасностью, либо частную с ISPm?

Заранее благодарен.

Ссылка

←	Монтирование части прошивки, -o loop,offset=0x

Вопрос по rsync

→

1) запустить второй апач для панели. Всё равно она от рута всё что нужно запускает.

2) каким образом чрут увеличивает безопасность систему? тем что юзер не сможет прочитать какие-то сверхсекретные конфиги? Скорее, это защита от невнимательности админа, но, имхо, овчинка не стоит выделки.

true_admin ★★★★★
(11.09.09 10:15:28 MSD)

Ответ на: комментарий от true_admin 11.09.09 10:15:28 MSD

Достаточно указать php_value open_basedir - и юзер ничего выше этого basedir не прочтет :)

Komintern ★★★★★
(11.09.09 12:02:56 MSD)

Ответ на: комментарий от Komintern 11.09.09 12:02:56 MSD

Да этот open_basedir сотней способов обходится(и каждый релиз часть дыр залатывают всё что нашлось) и он не работает при использовании cgi и exec. Короче, так себе защита :). Имеет смысл только при правильно выставленных правах и когда cgi-скрипты от другого юзера запускаются(чтобы можно было настроить права так что cgi не мог бы другому юзеру зайти в домашний каталог). Впрочем, у ispmanager с этим всё нормально.

true_admin ★★★★★
(11.09.09 12:19:52 MSD)

Ссылка

Ответ на: комментарий от true_admin 11.09.09 10:15:28 MSD

> 1) запустить второй апач для панели. Всё равно она от рута всё что нужно запускает.

Да, придётся, видимо, страдать.

>2) каким образом чрут увеличивает безопасность систему? тем что юзер не сможет прочитать какие-то сверхсекретные конфиги? Скорее, это защита от невнимательности админа, но, имхо, овчинка не стоит выделки.

В моём случае ещё как стоит =).

raystlin ★
(12.09.09 13:10:28 MSD) автор топика