Зашита от WEB SHELL на определенные каталоги.

0

1

Уважаемые знатоки! есть сервер: Ubuntu 14.04 apache-backend + nginx-frontend + php-fpm.

Сервер Apache работает от www-data:www-data

:на сервере стандартный каталог /var/www

:права sudo chown -R www-data:www-data /var/www

где лежат несколько сайтов:

так вот ситуация: необходимо предоставить доступ

к одному из сайтов к определенному каталогу с темой для мобильной верстке

доступ буду давать по SFTP

пользователь будет изолирован. у по sftp доступ будет только к каталогу /var/www/site.com

НО ЕСТЬ ВОПРОС: какие методы безопасности использовать в случае если спокойно могут залить web shell и исполнить его ссылке.

: при запуске web человек получает доступ не только к сайту, но и ко всем сайтам в /var/www.

: получая доступ к другим сайтам он также берет пароли и логины с конфигов для баз данных, тем самым имеет возможность скачать все SQL.

: также через web shell имеет доступ к /home /etc /var /bin и ко всем остальным.

ЗАДАЧА и ВОПРОСЫ

1. как запретить вызов web shell.

2. если даже исполнят web shell как запретить чтобы за рамки определенного каталога он не мог выйти и прочитать другие каталоги.

3. как защитить SQL что-бы не выкачал.

:::Структура каталогов сайта к которому необходимо дать доступ:

site.com

bla bla bla
bla bla bla

sites
- theme
- modules
- settings.php

 Ищу решение: в случае запуска shell чтобы человек не мог читать 
 и даже видеть каталоги и файлы.! за исключением каталога  theme

За ранее, Всем Спасибо.

Ссылка

←	Script timed out before returning headers

Внутренние IP-адреса клиентов Билайн, МТС

→

Решили свидомого подешёвке на доработку сайта взять и опасаетесь, что попадётся невменяемый? Если брать по объявлению, а вероятные потери значительны, то это верх идиотизма «пускать козу в огород» и настроить вокруг систему видеонаблюдения. Чтоб та «коза» ходила между капустой, но только ходила, а не ела. Мол, вы наблюдаете и всё видите. Если начнёт жрать, то вы увидите и пресечёте. Запаритесь бегать. Я вас уверяю, что козу в огород надо просто не пускать.

anonymous
(31.05.18 12:29:12 MSK)

никак если у человека есть возможность писать скриптики которые исполняются текущим приложением т.к. это даёт ему возможность шариться везде в любом случае.

Noob_Linux ★★★★
(31.05.18 13:22:04 MSK)

Ссылка

Ответ на: комментарий от anonymous 31.05.18 12:29:12 MSK

Хорошее Решение! будем иметь ввиду.

shrmvl
(31.05.18 16:01:32 MSK) автор топика

Ссылка

Сервер Apache работает от www-data:www-data

Что мешает пускать процессы apache и fpm для каждого сайта под своим пользователем?

: также через web shell имеет доступ к /home /etc /var /bin и ко всем остальным.

Что мешает отобрать у пользователя права на чтение ненужных каталогов(оставить право «прохода» - то есть флаг «x», но забрать чтение - «r») и/или настроить SELinux?

TL;DR - не вижу нерешаемости данной задачи. Вижу что кто-то не хочет заморачиваться и тратить время(в случае с тем же SELinux - возможно МНОГО времени) на решение задачи.

как защитить SQL что-бы не выкачал.

Если у пользователя есть доступ на чтение к любому файлу - он его прочитает и/или скопирует, если ему надо. Не, есть конечно DLP-системы, но поверь - ты не захочешь с этим связываться.

Pinkbyte ★★★★★
(31.05.18 22:02:11 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Script timed out before returning headers

Admin

Внутренние IP-адреса клиентов Билайн, МТС

→

Похожие темы