shared hosting - разграничение прав

Linux, безопасность, сети и все что с этим связано
Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Сообщение Llama »

tes+or писал(а):хм.. а почему бы не объеденить сборочную и тестовую? и как переносить собранные бинари на рабочую?
Тестовая == playgroud, соброчная == полный клон основной. А переносить бинари - ну по sftp/scp вероятно правильнее всего. а как собирать пакеты под генту - это уже не ко мне вопрос. Факт в том, что они там есть в том или ином виде и этого достаточно.
tes+or писал(а): потому что когданибудь я куплю нормальный сервак, а этот можно будет использовать как раз для этих целей.
Современные средства виртуализации позволяют обойтись минимумом коробок.
Опыт растет прямо пропорционально выведенному из строя оборудованию

leave
Неотъемлемая часть форума
Сообщения: 1055
Зарегистрирован: 25 окт 2006, 14:50
Откуда: minsk
Контактная информация:

Сообщение leave »

Я только одного не понял - в чем проблема для пхп юзать open_basedir? Согласен, обойти его можно, но далеко не каждый на это способен.

Hermit
Неотъемлемая часть форума
Сообщения: 354
Зарегистрирован: 22 сен 2004, 13:47
Откуда: Minsk
Контактная информация:

Сообщение Hermit »

leave писал(а):обойти его можно
по-моему уже вполне достаточно чтобы не использовать...

leave
Неотъемлемая часть форума
Сообщения: 1055
Зарегистрирован: 25 окт 2006, 14:50
Откуда: minsk
Контактная информация:

Сообщение leave »

Hermit, ну так и найти дырку в веб-сервере можно, но сложно:) это же не повод не использовать.

Hermit
Неотъемлемая часть форума
Сообщения: 354
Зарегистрирован: 22 сен 2004, 13:47
Откуда: Minsk
Контактная информация:

Сообщение Hermit »

это повод не использовать уязвимый/непатченный сервер

Аватара пользователя
tes+or
Неотъемлемая часть форума
Сообщения: 535
Зарегистрирован: 16 дек 2004, 17:47
Откуда: minsk
Контактная информация:

Сообщение tes+or »

ну вот и ляснулось оно. мажорный апдейт. с mpm-peruser не собирается, без него - собирается. значит, я так понимаю, переходим на схему suexec+suphp. т.е. все работает в режиме CGI через suexec, а пхп через свой suphp, никаких модулей для интерпретаторов не включаем. вобщем без особой паники, просто собираю все что надо, аккуратно пишу конфиги, потом перезапускаю и только после этого бьюсь головой апстену, когда оно не запустится, в чем я не сомневаюсь.

похоже надо переходить на дебиан, но единственный способ перейти на дебиан в моей ситуации, это купить второй сервак, поставить на него дебу, все перенести, запустить, оттестить и просто переключить эзернет коннектор. когда выяснится что все работает - скопировать на старый сервак новый дебиан и иметь его как подмену в случае чего. кроме того - сервак с элитгруповской матерью, в которой от старости при ребуте сбиваются часы и сдох порт флопика - это несерьезно. когда появятся средства, создам топик - будем выбирать надежный бюджетный сервер.

Аватара пользователя
tes+or
Неотъемлемая часть форума
Сообщения: 535
Зарегистрирован: 16 дек 2004, 17:47
Откуда: minsk
Контактная информация:

Сообщение tes+or »

кстати в дженте suphp is masked, что показательно. где-то был файлик где описана причина этого, но я немогу его найти...

на какой стадии разработки вообще находится suphp? чего это он masked вдруг?

Аватара пользователя
tes+or
Неотъемлемая часть форума
Сообщения: 535
Зарегистрирован: 16 дек 2004, 17:47
Откуда: minsk
Контактная информация:

Сообщение tes+or »

гхм.. не зря он был маскед. сегфолтиццо. имеем ситуацию в которой не работает не одна из возможных конфигураций. есть идея откатится к старой версии, но внешнюю опасность я оцениваю выше внутренней, поскольку хостинг я раздаю людям более-менее проверенным, а снаружи ходят ну вообще все, логично? исходя из этого я временно вообще отказываюсь от обсуждаемой модели безопасности и думаю что делать.

логично подождать пока suphp размаскируют, но подобные тенденции вообще настораживают. я имею в виду в дженте. пока ничего страшного, никто этого даунтайма и не заметит и никто ни у кого пароли к базе и не сопрет, а если и сопрет то ничего не сделает, но случись такое в будущем, мне бы было очень и очень неуютно.

passer-by
Неотъемлемая часть форума
Сообщения: 209
Зарегистрирован: 19 авг 2004, 01:24

Сообщение passer-by »

я извиняюсь за оффтоп, но <<с элитгруповской матерью, в которой от старости при ребуте сбиваются часы>> - ты прав как бох, у меня на P6BAP-ME аналогичная ситуация (матери 6+ лет). Знающие люди подсказали, что имеет смысл поменять батарейку материнской платы (кругляшок такой серебристый). вроде бы грошы стоит
PS. FYI помимо того, что приходя с работы домой, каждый раз перевожу часы, так ещё и сам компутар заводится через раз :(

Аватара пользователя
tes+or
Неотъемлемая часть форума
Сообщения: 535
Зарегистрирован: 16 дек 2004, 17:47
Откуда: minsk
Контактная информация:

Сообщение tes+or »

на что я ее только не менял. иногда не сбиваются - иногда сбиваются. понял что проще не выключать и при первой возможности выкинуть.

а вообще я смотрю на юзаные серваки индустриального класса, если можно так выразится. ковырял один такой - там проц без кулера и блок на 125 ватт, при том что это 3ий пень и в нем гиг памяти и два сказевых винта. вот это то что надо. это небудет сыпатся.

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Сообщение Llama »

tes+or, я в свое время мтерясь мигрировал с RHEL на Debian путем установки debootstrap на RH, далее шла установка базовой системы в каталог, chroot, установка и запуск ssh на альтернатівном порту. После этого неспеша конфигурял себе систему, в конце поставил ядро, загрузчик (это на самом деле самый проблемный этам в случае grub) и далее просот перегрузился с трепетом чуть пониже поясницы. У меня пару раз этот номер уде пропктывал. Вместо установки загрузчика в chroot я еще практичковал испозования загрузчика основной системы для загрузки ядра, initrd и прочего с "более другого" раздела на который бутстрапом поставлен debian, с последуюўей установкой загрузчика и т.п.
В качестве "более другого" раздела я использовал своп - благо базовая система с ядром и sshd туда обчно таки влазит, а /usr и т.п. можно после перезагрузки успешно и скопировать.
Опыт растет прямо пропорционально выведенному из строя оборудованию

Аватара пользователя
Llama
Неотъемлемая часть форума
Сообщения: 9749
Зарегистрирован: 06 фев 2002, 11:40
Откуда: Менск

Сообщение Llama »

tes+or писал(а):гхм.. не зря он был маскед. сегфолтиццо. имеем ситуацию в которой не работает не одна из возможных конфигураций. есть идея откатится к старой версии, но внешнюю опасность я оцениваю выше внутренней, поскольку хостинг я раздаю людям более-менее проверенным, а снаружи ходят ну вообще все, логично? исходя из этого я временно вообще отказываюсь от обсуждаемой модели безопасности и думаю что делать.
Оценивать угрозы - твое дело, просто хочу напомнить, что посредством дыры phpBB или php можно запросто запустить на сервере свой код, и далее остается только угадывать к чему это приведет, и не найдется ли эксплоит еще и к ядру.
Всех пользователей работающией системы следует по умолчанию считать либо откровенными злоумышленниками либо наивными долбоебами, либо хорошо замаскироваными технофетишистами. Мотивация нанесения вреда у всех трех категорий разная, но эффект примерно одинаковый - потеря работоспособности.
Опыт растет прямо пропорционально выведенному из строя оборудованию

Аватара пользователя
tes+or
Неотъемлемая часть форума
Сообщения: 535
Зарегистрирован: 16 дек 2004, 17:47
Откуда: minsk
Контактная информация:

Сообщение tes+or »

да, есть такое, но вариантов нет.

Ответить