запуск скриптов из /tmp

0

0

Добрый день! Прошу сразу не пинать ногами за может глупый вопрос, я пока только учусь:)

Можно ли сделать что-бы на вебсервере не возможно было для php perl скриптов создавать исполняемые файлы в /tmp и запускать их? Т.е. по ходу через дырявый двиг форума запускают в /tmp на серваке скрипты вебшелов. Я думаю это возможно подскажите как это сделать.

И подскажиет лиз где можно почитать в одном месте собранные советы как обезопасить веб-сервер, какие ограниченяи ввести дял пользоватлей из-под которых запускается скрипты и вебсервер.

Ссылка

←	как логировать попытки аутентификации для squid (ntlm_auth)?

электронный диск + сжатие СУБД

→

ну для начала примонтируйте /tmp с noexec и остальными секурными опциями
это подействует на 99% гадов

hizel ★★★★★
(17.06.09 21:37:54 MSD)

монтировать раздел с noexec

stave ★★★★★
(17.06.09 21:40:42 MSD)

Ссылка

Ответ на: комментарий от hizel 17.06.09 21:37:54 MSD

это уже сто раз обсуждали. это не поможет, например, для perl /tmp/harmprogram или /lib/libc.so.6 /tmp/harmprogram . Но хуже тоже не будет(если только это не, скажем, гента у которой портаж поломается от этого(или не поломается?)) так что можно ставить.

true_admin ★★★★★
(17.06.09 22:12:18 MSD)

знакомая проблема. на хостинге повадились запускаться от www перл-процессы, которые рассылали спам.
что я сделал - написал скрипт, который по крону запускается каждую минуту, проверяет наличие перловых процессов от юзера www, убивает их, и копирует access и error логи всех сайтов за текущую и предыдущую минуту. после 10-20 таких "инцидентов" обычно выявляется проломанный акаунт.

Komintern ★★★★★
(17.06.09 22:34:08 MSD)

Ссылка

пускать вебсервер в chroot

val-amart ★★★★★
(18.06.09 00:37:52 MSD)

Ссылка

Ответ на: комментарий от true_admin 17.06.09 22:12:18 MSD

>(если только это не, скажем, гента у которой портаж поломается от этого(или не поломается?))

Gentoo от себя вообще ничего в /tmp не пишет.

Не путать с /var/tmp/portage/, где собираются пакеты. Портеж не поломается, просто сборка новых пакетов перестанет работать :)

~~KRoN73~~ ★★★★★
(18.06.09 01:00:51 MSD)

Боже мой, какие только костыли ни делают, лишь бы скрипты нормально не писать...

Deleted
(18.06.09 02:41:39 MSD)

Ответ на: комментарий от Deleted 18.06.09 02:41:39 MSD

Ну не скажи :) Slapper в своё время как раз в tmp себя и компилировал. И запускал оттуда же. А он-то - через дырку в OpenSSL влезал :)

~~KRoN73~~ ★★★★★
(18.06.09 02:45:39 MSD)

Ответ на: комментарий от KRoN73 18.06.09 02:45:39 MSD

Обновляться надо было, а не на rh гнать :)

Deleted
(18.06.09 02:53:47 MSD)

Ответ на: комментарий от KRoN73 18.06.09 01:00:51 MSD

да какая разница, если уж закрывать /tmp то надо закрывать и /var/tmp и все остальные папки куда юзер пишет.

true_admin ★★★★★
(18.06.09 08:33:39 MSD)

Ответ на: комментарий от true_admin 18.06.09 08:33:39 MSD

>да какая разница, если уж закрывать /tmp то надо закрывать и /var/tmp

И куда же юзеру класть сорцы при сборке? :)

~~KRoN73~~ ★★★★★
(18.06.09 15:45:22 MSD)

Ответ на: комментарий от Deleted 18.06.09 02:53:47 MSD

>Обновляться надо было, а не на rh гнать :)

Дак кто ж в те времена думал о регулярных обновлениях домашних машинок? Да ещё когда трафик по 10 центов за мег считался очень дешёвым? :D

~~KRoN73~~ ★★★★★
(18.06.09 15:46:22 MSD)

Ответ на: комментарий от KRoN73 18.06.09 15:45:22 MSD

то ты гришь что надо /tmp закрыть чтобы вирусняков не напускали то щас гришь что им нужна возможность проги компилить...

Ну а для портяжей и прочего можно через losetup из файла сделать блочное устройство которое потом монтировать и тыкарть портаж туда.

true_admin ★★★★★
(18.06.09 16:08:56 MSD)

если selinux включить в enforcing моду, то никаких телодвижений не понадобится. наоборот, вот если захочешь дать доступ от http на почитать директорию или что то запустить, что не лежит в http песочнице, то придется через audit2allow рулесы самому писать и с бубном приплясывать, но это все легко решаемо.

real_maverick ★★★
(18.06.09 17:03:09 MSD)

Ссылка

Ответ на: комментарий от KRoN73 18.06.09 15:46:22 MSD

Когда трафик был 10 за мег, древнюю машину не выставляли в интернет.

Deleted
(18.06.09 18:46:20 MSD)

selinux лучший вариант для таких вещей

L0n3r4ng3r
(19.06.09 02:07:51 MSD)

Ссылка

Ответ на: комментарий от true_admin 18.06.09 16:08:56 MSD

>то ты гришь что надо /tmp закрыть чтобы вирусняков не напускали то щас гришь что им нужна возможность проги компилить...

Читай внимательнее. /tmp != /var/tmp/portage

~~KRoN73~~ ★★★★★
(19.06.09 09:22:00 MSD)

Ответ на: комментарий от Deleted 18.06.09 18:46:20 MSD

>Когда трафик был 10 за мег, древнюю машину не выставляли в интернет.

Здрасьте. Домашние машины в Интернет и 10 лет назад выставляли :) Тем более, когда Интернет дорогой был. Кеширующий прокси заметно позволял экономить семейный бюджет :)

~~KRoN73~~ ★★★★★
(19.06.09 09:23:39 MSD)

Ответ на: комментарий от KRoN73 19.06.09 09:23:39 MSD

Я про доступ снаружи вообще-то :)

Deleted
(19.06.09 09:54:31 MSD)

Ссылка

Ответ на: комментарий от KRoN73 19.06.09 09:22:00 MSD

> Читай внимательнее. /tmp != /var/tmp/portage

Это ты запутался. Я говорил что если закрывать то закрывать всё а для сборки портов отдельное устройство/раздел использовать куда обычный юзер не дотянется. И то это всё равно что прикрыться фиговым листочком. Большинство троянов на перле написаны, от них это никак не спасёт.

true_admin ★★★★★
(19.06.09 12:47:26 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	как логировать попытки аутентификации для squid (ntlm_auth)?

Admin

электронный диск + сжатие СУБД

→

Похожие темы