Автор Тема: Как обезопасить апач от phpRemoteView.php (Прочитано 9664 раз)

docker · « : 26 Февраля 2004, 14:17:39 »

Добрый день!

Почитал про phpRemoteView.php, скачал, установил на сервер... работает!!!! Т.е. просто имеет доступ ко всем файлам сервера, как будто телнету заходишь.

Как советовали, чтобы этого избежать, нужно в виртул хосте php_base_dir выставлять. Но вот проблема у нас он иногда значительно замедляет открытие сайта. Это я по опыту говорю, т.к. не раз уже комментировал эту настройку в виртуал хосте, перезагружал apache, и после этого данный сайт значительно быстрей открывался.
Конфигурация: Apache/windows2000

Поэтому вопросы:

1) Как php_base_dir может влиять на время затрачиваемое на выполнение скриптов сайта, т.е. по сути на время открытия сайта.

2) Какие еще существуют способы защиты сервера от хакерских php скриптов. (вроде там еще можно safe mod в виртуал хосте выстанавливать.... об этом тоже пожалуйста поподробей..)

Спасибо!!

FreeSpace · « **Ответ #1 :** 27 Февраля 2004, 01:13:50 »

Цитировать

docker:
Как обезопасить апач от phpRemoteView.php

Как отпилить рукоятку у граблей, чтобы они не били по голове, когда на них наступаешь?
Ничего страшного, что грабли сделаны не для того, чтобы на них наступать?
Ничего страшного, что если им отпилить рукоятку, ими больше нельзя будет воспользоваться по назначению?

Прости за оффтопик, но это ты на 2000 винде + апач собрался хостинг открывать что ли?

По теме: единственное нормальное решение, которое я знаю - это сделать так, чтобы скрипты выполнялись от имени пользователя, который является их оунером, а не от nobody. А уже как ты это реализуешь - дело твоё.

Updated: Ой, совсем забыл, тебе же под винду надо. Тогда не знаю, по-моему это вообще не осуществимо без извратов.

docker · « **Ответ #2 :** 27 Февраля 2004, 01:33:16 »

Цитировать

FreeSpace:
...Updated: Ой, совсем забыл, тебе же под винду надо. Тогда не знаю, по-моему это вообще не осуществимо без извратов....

В голове у тебя извраты. Вместо того, чтобы что-то дельное посоветовать, ты тут демагогию разводишь. Чего-ты тогда вообще отвечаешь? Держи весь свой негатив при себе.

Представляешь, может для тебя это невообразимо, но есть люди, которые в этом, о чем ты написал, разбираются пока меньше чем ты. Да-да, именно в такой, по-твоему мнению, элементарщине. Представляешь? Или до тебя это не может дойти?

FreeSpace · « **Ответ #3 :** 27 Февраля 2004, 01:59:35 »

docker
Прошу прощения, возможно я немного переборщил с иронией.
Вот основные мысли, которые я хотел до тебя донести:
1. Вопрос твой поставлен некорректно.
2. Организовывать хостинг (для чего ещё могут понадобиться такие извращения с бедный RemView\'ом?) под связкой win2k + apache, мягко говоря, нецелесообразно.
3. Реализовать разумный способ обхода твоих граблей можно, насколько я знаю, только под никсами.

ThE0ReTiC · « **Ответ #4 :** 27 Февраля 2004, 12:32:38 »

переехали

Croaker · « **Ответ #5 :** 27 Февраля 2004, 14:01:27 »

FreeSpace
Опиши как ты реализовываешь под *nix`ами.

Цитировать

ThE0ReTiC:
переехали

зря, кстати.

FreeSpace · « **Ответ #6 :** 27 Февраля 2004, 21:45:47 »

Croaker
Я сам это не реализовываю, потому что никсы пока плохо знаю.
Это реализовывает мой знакомый админ, у которого пхп так стоит уже пару лет и глюков не замечалось. Как он это реализовывает, прямо сейчас узнать не могу - нету его в аське. Если будет интересен именно его способ, могу дать его аську.
А пока можешь посмотреть на это - http://www.suphp.org/

docker · « **Ответ #7 :** 28 Февраля 2004, 02:15:38 »

Цитировать

FreeSpace:
Прошу прощения, возможно я немного переборщил с иронией.

Да ладно, ничего.

Цитировать

FreeSpace:
2. Организовывать хостинг (для чего ещё могут понадобиться такие извращения с бедный RemView\'ом?) под связкой win2k + apache, мягко говоря, нецелесообразно.
3. Реализовать разумный способ обхода твоих граблей можно, насколько я знаю, только под никсами.

Да хостинг организован уже давно. Да, именно на win2k + apache. Все знают, что это не очень хорошо. Но встречаются же решения, где была оптимальным именно такая связка.

Но кроме php_base_dir ничего в голову не приходит. Поэтому спрашиваю, еще как-то обезопасить сервер от phpRemoteView можно?

docker · « **Ответ #8 :** 28 Февраля 2004, 02:20:26 »

Цитировать

Croaker:
FreeSpace
Опиши как ты реализовываешь под *nix`ами.

Цитировать
ThE0ReTiC:
переехали

зря, кстати.

Конечно зря. Вопросы безопасности серверов обсуждаем - а тут во флейм... :-)

FreeSpace · « **Ответ #9 :** 28 Февраля 2004, 03:26:44 »

Цитировать

docker:
Но встречаются же решения, где была оптимальным именно такая связка.

Я не могу придумать ни одного повода для работы продакшн сервера в такой конфигурации. Если только на этом "сервере" секретарша пасьянсы не раскладывает...

Способов обезопасить сервер от этой "дырки" - огромное количество. Вот только большинство способов достаточно кривые. И, что самое обидное, большинство хостеров (особенно западных) используют самые кривые из придуманных способов.
Как я уже говорил, имхо самое правильное решение - это запуск скриптов от имени владельца скрипта. Но для этого надо для начала поставить никсы на сервер...

Yukko · « **Ответ #10 :** 28 Февраля 2004, 10:25:09 »

Цитировать

FreeSpace:
Я не могу придумать ни одного повода для работы продакшн сервера в такой конфигурации.

Во время планирования новой сети приезжает технический директор холдинга из одной далекой европейской страны и указывает список программного обеспечения, которое должно быть установлено в обязательном порядке на каждой машине. Не согласен — можешь возражать, но тогда прийдется подыскать другую работу, но и на другом месте работы в 60% случаев будет такая же ситуация, и так будет тех пор, пока сам не станешь техническим директором какого-то холдинга.

Yukko · « **Ответ #11 :** 28 Февраля 2004, 10:33:41 »

docker
читай тут:
http://phpclub.ru/talk/showthread.php?s=&threadid=22748&perpage=30&pagenumber=1
http://phpclub.ru/talk/showthread.php?s=&threadid=33321&highlight=phpRemoteView

docker · « **Ответ #12 :** 28 Февраля 2004, 12:56:51 »

Цитировать

Yukko:
читай тут:
http://phpclub.ru/talk/showthread.p...30&pagenumber=1
http://phpclub.ru/talk/showthread.p...t=phpRemoteView

Там тоже это в оффтопе. Странно!!! Никто не сталкивался с такой проблемой что ли? Вероятно сталкивался. А раз такие вопросы в оффтом загоняют, значит они считаются легко решаемыми, а раз так - то подскажите кто-как решал такую проблему?

P.S. Да, там конечно я тоже попытаюсь это спросить.

Croaker · « **Ответ #13 :** 29 Февраля 2004, 20:28:53 »

docker
С этой проблемой сталкивались многие, но сильно об этом не принято говорить.

Цитировать

FreeSpace:
Как я уже говорил, имхо самое правильное решение - это запуск скриптов от имени владельца скрипта. Но для этого надо для начала поставить никсы на сервер...

А если у тебя на одном веб-сервере крутятся сайты нескольких пользователей?

А php реализован как модуль апача, а не cgi? Тогда нужно давать пользователю, от которго веб-сервер бегает, права на работу со скриптами, при чем со всеме (т.е. всех пользователей).

Единственное разумное решение, про которое я знаю - выдавать каждому пользователю по своему апачу. Но тут тоже много камней подводных.

Croaker · « **Ответ #14 :** 29 Февраля 2004, 20:30:49 »

FreeSpace
Спасибо за ссылку.

Новости:

Автор Тема: Как обезопасить апач от phpRemoteView.php (Прочитано 9664 раз)