anclbob Posted April 14, 2006 Posted April 14, 2006 Возникла следующая проблемка. Есть сервер, на нём организованны странички пользователей например http://test.dom/~boris вот в эту папку хитрый пользователь скинул файлик r57shell.php , он даёт доступ на все папочки жёсткого диска. Т.е. может просмотреть все конфиги в /etc , полазить по страничкам пользователей, посмотреть ихние мускульные пароли, скачать биллинг... и закачивать файлики, выполнять команды, хорошо что reboot не выполняется ))... Как это предотвратить? можно ли сделать что бы подобного рода шэлы не работали? Вставить ник Quote
balamutang Posted April 14, 2006 Posted April 14, 2006 сделать апачу chroot jail рулит Вставить ник Quote
Alferov Posted April 14, 2006 Posted April 14, 2006 хорошо что reboot не выполняется вы уверены? :)) Вставить ник Quote
anclbob Posted April 14, 2006 Author Posted April 14, 2006 сделать апачу chroot а можно поподробнее? это как? Вставить ник Quote
anclbob Posted April 14, 2006 Author Posted April 14, 2006 хорошо что reboot не выполняется вы уверены? :)) ну я сам пробовал не выщло... Вставить ник Quote
anclbob Posted April 14, 2006 Author Posted April 14, 2006 сделать апачу chrootjail рулит а это что такое? Вставить ник Quote
BETEPAH Posted April 15, 2006 Posted April 15, 2006 chroot - выполнение в виртуальном окружении, когда у апача создаются свои директории /etc /tmp и т.п. и он думает, что он крутится как обычно, но реально он зажат только в своём каталоге Вставить ник Quote
BETEPAH Posted April 15, 2006 Posted April 15, 2006 блин, два разных топика развёл - ты уж определись, что необходимо, не создавать домашние странички или ограничить апач Вставить ник Quote
anclbob Posted April 15, 2006 Author Posted April 15, 2006 блин, два разных топика развёл - ты уж определись, что необходимо, не создавать домашние странички или ограничить апач ну хочется знать и то и другое... Вставить ник Quote
anclbob Posted April 15, 2006 Author Posted April 15, 2006 chroot - выполнение в виртуальном окружении, когда у апача создаются свои директории /etc /tmp и т.п. и он думает, что он крутится как обычно, но реально он зажат только в своём каталоге а как это сделать для пользователей если у них каталоги совсем в другом месте? а можно лучше на наглядном примере? если не сложно... Вставить ник Quote
balamutang Posted April 15, 2006 Posted April 15, 2006 jail рулит а это что такое? ну как попроще объяснить.... типа как chroot только круче. процесс можно запустить типа на виртуальной машине , даже ip адрес отдельный.. гугл и яндекс напряги - инфы навалом. Вставить ник Quote
anclbob Posted April 15, 2006 Author Posted April 15, 2006 jail рулит а это что такое? ну как попроще объяснить.... типа как chroot только круче. процесс можно запустить типа на виртуальной машине , даже ip адрес отдельный.. гугл и яндекс напряги - инфы навалом. ну да я посмотрел... что то там круто сильно. Надо узнать что же такое chroot ))) Вставить ник Quote
f13 Posted April 15, 2006 Posted April 15, 2006 Надо узнать что же такое chroot ))) http://ru.wikipedia.org/wiki/Chroot Вставить ник Quote
anclbob Posted April 15, 2006 Author Posted April 15, 2006 Надо узнать что же такое chroot ))) http://ru.wikipedia.org/wiki/Chroot вау клёвая статья! столько примеров... незнаю с какого начать )). я тут нашёл http://hill.lfa.ru/html/chroot_apache.html вот это! сделал всё как там написано. и мне при запуске выдаёт ELF interpreter /libexec/ld-elf.so.1 not found Abort всегда что то случается блин... Вставить ник Quote
jab Posted April 15, 2006 Posted April 15, 2006 сказали же - ставить линукс, там все будет работать Вставить ник Quote
anclbob Posted April 15, 2006 Author Posted April 15, 2006 сказали же - ставить линукс, там все будет работать да какой линукс! фря полюбому рулит! это апач галимый... ))) ну там в статье слишком всего много. Может кто нить подскажет как попроще сделать? я одного не могу понять если апач запускать как обычно без chroot он запускается если с ним то ошибка! почему? Вставить ник Quote
BETEPAH Posted April 15, 2006 Posted April 15, 2006 меня удивляет: автор впервые увидев *nix, утверждает, что: апач галимый и что фря полюбому рулит. вам, товарищ на sysadmins.ru надо, в форум для начинающих. Вставить ник Quote
anclbob Posted April 15, 2006 Author Posted April 15, 2006 меня удивляет: автор впервые увидев *nix, утверждает, что: апач галимый и что фря полюбому рулит. вам, товарищ на sysadmins.ru надо, в форум для начинающих. ладно ладно пойду и туда тоже... фря действительно рулит. У меня вроде всё работает. А вот с ВЭБОМ всегда проблемы были. А ошибка с вайликом ld-elf.so.1 у меня уже рас 100 за всё мою историю встречалась. Вот мне просто интересно что он хочет. мне это нужно для того что бы пароль на базу для билинга не упёрли )) Вставить ник Quote
ToSHiC Posted April 15, 2006 Posted April 15, 2006 вообще надо просто апач статически слинковать - и всё будет в шоколаде. как вариант - можно заюзать mod_chroot, довольно интересная штучка Вставить ник Quote
balamutang Posted April 15, 2006 Posted April 15, 2006 А ошибка с вайликом ld-elf.so.1 у меня уже рас 100 за всё мою историю встречалась. Вот мне просто интересно что он хочет. мне это нужно для того что бы пароль на базу для билинга не упёрли )) делаешь ldd /usr/local/sbin/httpd - тебе ldd напишет какие библиотеки нужны для апача кроме /libexec/ld-elf.so.1. в чрут все надо будет скинуть в такие же папки - /usr/chroot/libexec/ld-elf.so.1 например и /usr/chroot/usr/local/sbin/httpd и так далее :) потом еще надо будет туда перл, пхп, сокет mysql.... Вставить ник Quote
anclbob Posted April 15, 2006 Author Posted April 15, 2006 А ошибка с вайликом ld-elf.so.1 у меня уже рас 100 за всё мою историю встречалась. Вот мне просто интересно что он хочет. мне это нужно для того что бы пароль на базу для билинга не упёрли )) делаешь ldd /usr/local/sbin/httpd - тебе ldd напишет какие библиотеки нужны для апача кроме /libexec/ld-elf.so.1. в чрут все надо будет скинуть в такие же папки - /usr/chroot/libexec/ld-elf.so.1 например и /usr/chroot/usr/local/sbin/httpd и так далее :) потом еще надо будет туда перл, пхп, сокет mysql.... да всё понякидал блин... может второй апач попробовать.. Вставить ник Quote
Ugnich Anton Posted April 15, 2006 Posted April 15, 2006 Лучше документацию читать попробуйте... Вставить ник Quote
anclbob Posted April 18, 2006 Author Posted April 18, 2006 Ну сделал я этот chroot для апача! всё отлично! в кореньне идёт этот шэл, но я его опять поставил на старый! Смысла в этом никакого. При установке апача всё прошло гладко, но нужно же и мускуль перетянуть в эту директорию туда все базы. ВОТ ТОГДА РАБОТАЕТ! а смысл? опять все базы будут на виду. расшифровывай пароли и вперёд! надо что то другое думать Вставить ник Quote
Blackmore Posted April 18, 2006 Posted April 18, 2006 зачем же мускуль то туда ? настрой как следует права доступа, опеннет почитай наконец там много всего про безопасность Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.