ReSQL.ru
     
powered by simpleCommunicator - 2.0.38     © 2025 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Посоветуйте годный мануал по настройке LAMP
10 сообщений из 10, страница 1 из 1
Посоветуйте годный мануал по настройке LAMP
    #39446828
stardg
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
stardg
Участник
Камрады, посоветуйте плиз хорошие мануалы по разворачиванию веб-сервера на Linux (желательно CENTOS) + Apache + MySQL+ PHPMyAdmin.

В основном интересует безопасность, правильная настройка прав для Web-разработчика и для Apache. Достало переустанавливать уже.

По обычным мануалам-подсказкам типа https://losst.ru/ustanovka-lamp-v-centos-7 , всё конечно разворачивается, но через пару месяцев от всяких левых скриптов и эксплоитов в глазах рябит, вечно забитый под 100% проц, вечные попытки воспользоваться smtp (приходится глушить его), в общем безопасность на нуле. Каждую ночь запускается CLAV находит штук 70 зверей, а к утру их уже штук 30 новых.

Потому именно хотелось бы почитать что нибудь умное, про настройки фаерволов, набои на интересные модули к апачу отвечающие за безопасность и т.д. ну вы понеле...
...
Рейтинг: 0 / 0
01.05.2017, 07:27
| Ответить | Цитировать | Написать  
Посоветуйте годный мануал по настройке LAMP
    #39446838
azsx
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
azsx
Участник
Если у вас реально ломают именно через linux, а не скрипты на php, ьл млжет поставить fil2ban, сложный пароль на mysql для root и реально отказаться от phpmyadmin?
Но ведь скорее у вас проблема с сайтом и вам эти советы не помогут никак.
...
Рейтинг: 0 / 0
01.05.2017, 08:50
| Ответить | Цитировать | Написать  
Посоветуйте годный мануал по настройке LAMP
    #39447779
stardg
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
stardg
Участник
azsx,

возможно что проблемы и правда в "дырявых" CMS. У меня там лежит всё от Wordpress до Bitrix.

Вот я и не могу понять некоторых аспектов назначения прав.

Я директории под виртуальный хост (DOCUMENT_ROOT) и всем вложенным устанавливаю владельца apache:apache. Получается что при при помощи CMS можно залить любой PHP-шник и спокойно его экзекутить. Но если не ставить владельцем файлов и директорий сайта апача, то тогда и CMS работать не смогут (если чмод 777 не делать).

Как блин тогда всё это работает нормально у хостеров? Годами сайты лежат никто ничего не может запихнуть лишнего (за редкими совсем уж дырками), а я на VDS уже припарился лечить.

Вот и закралась мысль что я права неправильно как то выставляю.
...
Рейтинг: 0 / 0
03.05.2017, 12:14
| Ответить | Цитировать | Написать  
Посоветуйте годный мануал по настройке LAMP
    #39447787
Фотография bga83
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
bga83
Участник
stardgПолучается что при при помощи CMS можно залить любой PHP-шник и спокойно его экзекутитьраз пути возможных атак, понятны то соответсвенно и надо искать решения для их исключения. Собственно говоря, имеет смысл разграничить папки на 2 рода:
- непосредственно CMS и неизменные данные сайта. Запретить запись и изменение в них чего либо вообще
- куда будут заливаться некие пользовательские файлы, храниться временные и тд. Но жестко запретить исполнение чего-либо отттуда.

зачастую в документации CMS есть страницы посвященные правильной настройке прав на каталоги.


stardg. Каждую ночь запускается CLAV находит штук 70 зверей, а к утру их уже штук 30 новых.пользователи системыне или внутриЦМС-ные?
...
Рейтинг: 0 / 0
03.05.2017, 12:28
| Ответить | Цитировать | Написать  
Посоветуйте годный мануал по настройке LAMP
    #39448197
vkle
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vkle
Участник
stardgЯ директории под виртуальный хост (DOCUMENT_ROOT) и всем вложенным устанавливаю владельца apache:apache.Не гуд. В смысле, оно как-то годится для ковыряния на домашнем компе. Но для нормальной работы в продакшне - пожалуй, только если на сервере лишь один-единственный сайт живет.


stardgНо если не ставить владельцем файлов и директорий сайта апача, то тогда и CMS работать не смогут (если чмод 777 не делать).Глупости. Апачу читать в основном достаточно. И чуть-чуть писать. А уж выполнять пхпшное так и вовсе не требуется. За очень-очень редким исключением.
Итого, владелец будет рядовой пользователь - ему читать и писать. Группа - основная пользовательская, только читать, за исключением директории загружаемых файлов, куда можно и писать. Вебсервер входит в группу пользователя. Остальным - нефиг делать или только читать.
Это касаемо файлов. Для директорий добавить право входа.
Если настроить suEXEC + какой-нить fast-cgi, тогда жить ещё проще, там Апачу писать ничего не надо вовсе.


stardgКак блин тогда всё это работает нормально у хостеров? Годами сайты лежат никто ничего не может запихнуть лишнегоВо-первых, настроены разного рода разграничения по пользователям. Во-вторых, обрезано потенциально опасное и приводящее к проблемам. Даже встречал хостинг, где сайты не работали, если на файлы/каталоги выставлены завышенные права доступа (ставишь 777 на директорию сайта - ошибка 500, ставишь 755 - работает). Для хостера - это бизнес, который должен стабильно работать и устраивать ну никак не менее 95% пользователей. Кому ограничения хостинга не нравятся - вэлкам на ВПСку и сами там трахтибидохайтесь или парьтесь - это по выбору. В чем Вы и убедились, собственно говоря.
...
Рейтинг: 0 / 0
03.05.2017, 21:17
| Ответить | Цитировать | Написать  
Посоветуйте годный мануал по настройке LAMP
    #39448472
stardg
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
stardg
Участник
bga83пользователи системыне или внутриЦМС-ные?
Apache пользователи. Точно значит CMS вскрывают сволочи
...
Рейтинг: 0 / 0
04.05.2017, 10:56
| Ответить | Цитировать | Написать  
Посоветуйте годный мануал по настройке LAMP
    #39448479
stardg
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
stardg
Участник
vkleГлупости. Апачу читать в основном достаточно. И чуть-чуть писать. А уж выполнять пхпшное так и вовсе не требуется. За очень-очень редким исключением.
Итого, владелец будет рядовой пользователь - ему читать и писать. Группа - основная пользовательская, только читать, за исключением директории загружаемых файлов, куда можно и писать. Вебсервер входит в группу пользователя. Остальным - нефиг делать или только читать.
Это касаемо файлов. Для директорий добавить право входа.
Если настроить suEXEC + какой-нить fast-cgi, тогда жить ещё проще, там Апачу писать ничего не надо вовсе.

То есть фактически, можно всем хостам поставить владельцем root за исключением всяких директорий, типа upload которым чмод можно 666 воткнуть и не париться? Я просто искренне считал, что для работы CMS владелец (apache) должен иметь права на eXecute...
...
Рейтинг: 0 / 0
04.05.2017, 11:01
| Ответить | Цитировать | Написать  
Посоветуйте годный мануал по настройке LAMP
    #39448545
Фотография bga83
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
bga83
Участник
stardgvkleГлупости. Апачу читать в основном достаточно. И чуть-чуть писать. А уж выполнять пхпшное так и вовсе не требуется. За очень-очень редким исключением.
Итого, владелец будет рядовой пользователь - ему читать и писать. Группа - основная пользовательская, только читать, за исключением директории загружаемых файлов, куда можно и писать. Вебсервер входит в группу пользователя. Остальным - нефиг делать или только читать.
Это касаемо файлов. Для директорий добавить право входа.
Если настроить suEXEC + какой-нить fast-cgi, тогда жить ещё проще, там Апачу писать ничего не надо вовсе.

То есть фактически, можно всем хостам поставить владельцем root за исключением всяких директорий, типа upload которым чмод можно 666 воткнуть и не париться? Я просто искренне считал, что для работы CMS владелец (apache) должен иметь права на eXecute...почему бы не почитать что в документации указано. подобные статьи находятся довольно просто
...
Рейтинг: 0 / 0
04.05.2017, 11:38
| Ответить | Цитировать | Написать  
Посоветуйте годный мануал по настройке LAMP
    #39449018
vkle
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vkle
Участник
stardgЯ просто искренне считал, что для работы CMS владелец (apache) должен иметь права на eXecute...Право выполнения - это из CGI идет, там надо, да.


stardgТо есть фактически, можно всем хостам поставить владельцем rootЕщё один выстрел в ногу, да? Почитайте что-нибудь по основам администрирования операционных систем (любых распространенных) и откройте для себя "рядового пользователя".
...
Рейтинг: 0 / 0
04.05.2017, 21:15
| Ответить | Цитировать | Написать  
Посоветуйте годный мануал по настройке LAMP
    #39449360
мимопроходилтреднечитал
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
мимопроходилтреднечитал
Гость
stardg,

по ссылке довольно хороший мануал, даже не заставляет selinux выключать, только phpmyadmin ставить нельзя, и к выбору запускаемого добра, написанного на пехопе надо с осторожностью подходить и максимально быстро его обновлять.
...
Рейтинг: 0 / 0
05.05.2017, 13:21
| Ответить | Цитировать | Написать  
10 сообщений из 10, страница 1 из 1
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Посоветуйте годный мануал по настройке LAMP
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
NoSQL.ru             Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=25&msg=39447779&tid=1481553]:
 0ms
get settings:
 9ms
get forum list:
 14ms
check forum access:
 4ms
check topic access:
 4ms
track hit:
 32ms
get topic data:
 10ms
get forum data:
 2ms
get page messages:
 44ms
get tp. blocked users:
 1ms
others: 268ms
total:  388ms
созд. / загр.: 388ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]