LINUX.ORG.RU
ФорумAdmin

Жесткая политика безопасности


0

2

Здравствуйте. У меня пара вопросов к знатокам. Вопрос первый: Есть несколько веб-сайтов (на php). Необходимо разграничить доступ к каждому из них, чтобы сайты (php функции) не имели возможности получить доступ к друг другу.

Как я понял, эта проблема решается созданием chroot-окружения для каждого из сайтов? Если это решение удовлетворяет требованиям безопасности, обозначенным выше, то отлично, так и сделаю. Или же посоветуйте, пожалуйста, иной способ.

Второй вопрос: Необходимо выдать непривилегированный SSH-доступ, «заперев» пользователей в их домашних директориях, ограничив их возможности до запуска скриптов в этой папке и в подпапках, также соблюдая требования безопасности, указанные выше. Вот тут я сомневаюсь насчет использования chroot, наслышан, что в этом плане он не безопасен... Как вариант, можено конечно же использовать виртуальные машины, однако, это крайняя мера. Нагуглил еще про lxc, однако не буду забегать вперед, подожду ваших советов ...

Спасибо за внимание!

Необходимо разграничить доступ к каждому из них, чтобы сайты (php функции) не имели возможности получить доступ к друг другу.

Ну дык если не включать файлы, не объявлять их друг-другу они и неимеют. Не?

Как я понял, эта проблема решается созданием chroot-окружения для каждого из сайтов?

Можно права раздать. Разным пользователям на разные сайты.
Поставить 775, группу назначить такую где только веб-сервер.

Необходимо выдать непривилегированный SSH-доступ, «заперев» пользователей в их домашних директориях

Обсуждалось пару месяцев назад сдесь же. Поиск по словам «SSH chroot»

Yustas ★★★★ ()

использовать виртуальные машины, однако, это крайняя мера

Если нужна жесткая политика безопасности, а не только ее видимость, придется пойти на крайние меры.

fjoe ()

apache suexec сгодится. если совсем параноить, то можно и lxc/oepnvz, а если совсем-совсем, то можно и xen/kvm

redixin ★★★★ ()

Можно обойтись Mandatory Access Control

Pinkbyte ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.