Новые сообщения [новые:0]
Дайджест
Горячие темы
Избранное [новые:0]
Форумы
Пользователи
Статистика
Статистика нагрузки
Мод. лог
Поиск
|
|
01.05.2017, 07:27
|
|||
|---|---|---|---|
Посоветуйте годный мануал по настройке LAMP |
|||
|
#18+
Камрады, посоветуйте плиз хорошие мануалы по разворачиванию веб-сервера на Linux (желательно CENTOS) + Apache + MySQL+ PHPMyAdmin. В основном интересует безопасность, правильная настройка прав для Web-разработчика и для Apache. Достало переустанавливать уже. По обычным мануалам-подсказкам типа https://losst.ru/ustanovka-lamp-v-centos-7 , всё конечно разворачивается, но через пару месяцев от всяких левых скриптов и эксплоитов в глазах рябит, вечно забитый под 100% проц, вечные попытки воспользоваться smtp (приходится глушить его), в общем безопасность на нуле. Каждую ночь запускается CLAV находит штук 70 зверей, а к утру их уже штук 30 новых. Потому именно хотелось бы почитать что нибудь умное, про настройки фаерволов, набои на интересные модули к апачу отвечающие за безопасность и т.д. ну вы понеле... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
01.05.2017, 08:50
|
|||
|---|---|---|---|
Посоветуйте годный мануал по настройке LAMP |
|||
|
#18+
Если у вас реально ломают именно через linux, а не скрипты на php, ьл млжет поставить fil2ban, сложный пароль на mysql для root и реально отказаться от phpmyadmin? Но ведь скорее у вас проблема с сайтом и вам эти советы не помогут никак. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
03.05.2017, 12:14
|
|||
|---|---|---|---|
Посоветуйте годный мануал по настройке LAMP |
|||
|
#18+
azsx, возможно что проблемы и правда в "дырявых" CMS. У меня там лежит всё от Wordpress до Bitrix. Вот я и не могу понять некоторых аспектов назначения прав. Я директории под виртуальный хост (DOCUMENT_ROOT) и всем вложенным устанавливаю владельца apache:apache. Получается что при при помощи CMS можно залить любой PHP-шник и спокойно его экзекутить. Но если не ставить владельцем файлов и директорий сайта апача, то тогда и CMS работать не смогут (если чмод 777 не делать). Как блин тогда всё это работает нормально у хостеров? Годами сайты лежат никто ничего не может запихнуть лишнего (за редкими совсем уж дырками), а я на VDS уже припарился лечить. Вот и закралась мысль что я права неправильно как то выставляю. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
03.05.2017, 12:28
|
|||
|---|---|---|---|
Посоветуйте годный мануал по настройке LAMP |
|||
|
#18+
stardgПолучается что при при помощи CMS можно залить любой PHP-шник и спокойно его экзекутитьраз пути возможных атак, понятны то соответсвенно и надо искать решения для их исключения. Собственно говоря, имеет смысл разграничить папки на 2 рода: - непосредственно CMS и неизменные данные сайта. Запретить запись и изменение в них чего либо вообще - куда будут заливаться некие пользовательские файлы, храниться временные и тд. Но жестко запретить исполнение чего-либо отттуда. зачастую в документации CMS есть страницы посвященные правильной настройке прав на каталоги. stardg. Каждую ночь запускается CLAV находит штук 70 зверей, а к утру их уже штук 30 новых.пользователи системыне или внутриЦМС-ные? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
03.05.2017, 21:17
|
|||
|---|---|---|---|
Посоветуйте годный мануал по настройке LAMP |
|||
|
#18+
stardgЯ директории под виртуальный хост (DOCUMENT_ROOT) и всем вложенным устанавливаю владельца apache:apache.Не гуд. В смысле, оно как-то годится для ковыряния на домашнем компе. Но для нормальной работы в продакшне - пожалуй, только если на сервере лишь один-единственный сайт живет. stardgНо если не ставить владельцем файлов и директорий сайта апача, то тогда и CMS работать не смогут (если чмод 777 не делать).Глупости. Апачу читать в основном достаточно. И чуть-чуть писать. А уж выполнять пхпшное так и вовсе не требуется. За очень-очень редким исключением. Итого, владелец будет рядовой пользователь - ему читать и писать. Группа - основная пользовательская, только читать, за исключением директории загружаемых файлов, куда можно и писать. Вебсервер входит в группу пользователя. Остальным - нефиг делать или только читать. Это касаемо файлов. Для директорий добавить право входа. Если настроить suEXEC + какой-нить fast-cgi, тогда жить ещё проще, там Апачу писать ничего не надо вовсе. stardgКак блин тогда всё это работает нормально у хостеров? Годами сайты лежат никто ничего не может запихнуть лишнегоВо-первых, настроены разного рода разграничения по пользователям. Во-вторых, обрезано потенциально опасное и приводящее к проблемам. Даже встречал хостинг, где сайты не работали, если на файлы/каталоги выставлены завышенные права доступа (ставишь 777 на директорию сайта - ошибка 500, ставишь 755 - работает). Для хостера - это бизнес, который должен стабильно работать и устраивать ну никак не менее 95% пользователей. Кому ограничения хостинга не нравятся - вэлкам на ВПСку и сами там трахтибидохайтесь или парьтесь - это по выбору. В чем Вы и убедились, собственно говоря. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
04.05.2017, 10:56
|
|||
|---|---|---|---|
Посоветуйте годный мануал по настройке LAMP |
|||
|
#18+
bga83пользователи системыне или внутриЦМС-ные? Apache пользователи. Точно значит CMS вскрывают сволочи ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
04.05.2017, 11:01
|
|||
|---|---|---|---|
Посоветуйте годный мануал по настройке LAMP |
|||
|
#18+
vkleГлупости. Апачу читать в основном достаточно. И чуть-чуть писать. А уж выполнять пхпшное так и вовсе не требуется. За очень-очень редким исключением. Итого, владелец будет рядовой пользователь - ему читать и писать. Группа - основная пользовательская, только читать, за исключением директории загружаемых файлов, куда можно и писать. Вебсервер входит в группу пользователя. Остальным - нефиг делать или только читать. Это касаемо файлов. Для директорий добавить право входа. Если настроить suEXEC + какой-нить fast-cgi, тогда жить ещё проще, там Апачу писать ничего не надо вовсе. То есть фактически, можно всем хостам поставить владельцем root за исключением всяких директорий, типа upload которым чмод можно 666 воткнуть и не париться? Я просто искренне считал, что для работы CMS владелец (apache) должен иметь права на eXecute... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
04.05.2017, 11:38
|
|||
|---|---|---|---|
Посоветуйте годный мануал по настройке LAMP |
|||
|
#18+
stardgvkleГлупости. Апачу читать в основном достаточно. И чуть-чуть писать. А уж выполнять пхпшное так и вовсе не требуется. За очень-очень редким исключением. Итого, владелец будет рядовой пользователь - ему читать и писать. Группа - основная пользовательская, только читать, за исключением директории загружаемых файлов, куда можно и писать. Вебсервер входит в группу пользователя. Остальным - нефиг делать или только читать. Это касаемо файлов. Для директорий добавить право входа. Если настроить suEXEC + какой-нить fast-cgi, тогда жить ещё проще, там Апачу писать ничего не надо вовсе. То есть фактически, можно всем хостам поставить владельцем root за исключением всяких директорий, типа upload которым чмод можно 666 воткнуть и не париться? Я просто искренне считал, что для работы CMS владелец (apache) должен иметь права на eXecute...почему бы не почитать что в документации указано. подобные статьи находятся довольно просто ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
04.05.2017, 21:15
|
|||
|---|---|---|---|
Посоветуйте годный мануал по настройке LAMP |
|||
|
#18+
stardgЯ просто искренне считал, что для работы CMS владелец (apache) должен иметь права на eXecute...Право выполнения - это из CGI идет, там надо, да. stardgТо есть фактически, можно всем хостам поставить владельцем rootЕщё один выстрел в ногу, да? Почитайте что-нибудь по основам администрирования операционных систем (любых распространенных) и откройте для себя "рядового пользователя". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
05.05.2017, 13:21
|
|||
|---|---|---|---|
|
|||
Посоветуйте годный мануал по настройке LAMP |
|||
|
#18+
stardg, по ссылке довольно хороший мануал, даже не заставляет selinux выключать, только phpmyadmin ставить нельзя, и к выбору запускаемого добра, написанного на пехопе надо с осторожностью подходить и максимально быстро его обновлять. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
start [/forum/topic.php?fid=25&tablet=1&tid=1481553]: |
0ms |
get settings: |
10ms |
get forum list: |
13ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
51ms |
get topic data: |
12ms |
get forum data: |
3ms |
get page messages: |
50ms |
get tp. blocked users: |
2ms |
| others: | 13ms |
| total: | 162ms |
| 0 / 0 |
