Как обезопасить клиентов на одном VPS сервере?

Question

[Виктория Торопова]

На одном VPS сервере размещается несколько сайтов клиентов (личный кабинет). Каждый клиент сможет загружать файлы на свой сайт, такой вопрос: если клиент загрузит какой нибудь файл с вирусом (случайно или намеренно), смогут ли пострадать другие сайты на VPS сервере (сайты находятся на разных доменах и папках)?

Comments

[Дмитрий Кузнецов]

думаю да. нужно каждому пользователю так же выдавать права только на свои папки + антивирус какой нить

[sim3x]

Простого решения нет
Безопасность комплексная проблема

Answer 1

[Adamos]

Если у вас на сервере исполняется что угодно от клиентов - стоит быть готовым, что это "что угодно" использует эксплойт с повышением прав до рута и похерит весь сервак.
Нет, правами на папки это не решается.
Эксплойты, пробивающие виртуализацию, тоже случаются, но реже, конечно.

Стоит локализовать проблему: что именно загружают клиенты на сайт и как это используется. Исходя из этого уже плясать дальше.
Например, если это исключительно мультимедия/документы/архивы - просто исключите возможность, что они будут каким-то образом обрабатываться на сервере.
Если же это полноценные сайты и клиенты загружают произвольные скрипты - ну, режьте возможности обработчика... и разделите права на папки, конечно.

Comments

[Антон Р.]

или завести отдельный сервак чисто под папки /images или /uploads с отключенными интерпретаторами.
если я правильно понял

[Adamos]

Антон Р., отдельные серваки и безопасность - совершенно перпендикулярные вещи. Если у вас из папок /images и /uploads ничего не идет на обработку или выполнение - абсолютно все равно, где они лежат.
Эксплойты из лежачего файла не запустятся.

[Антон Р.]

Adamos, я даже знаю как отключить php в папке, но как-то ссыкотно - вдруг хацкер и .htaccess сможет отредактировать.

[Adamos]

Антон Р., а вы избавьтесь от Apache - избавитесь и от этого страха ;)
Если хакер может у вас редактировать конфиг nginx - то он вас уже поимел.

[Антон Р.]

Adamos, так вот я и писал - отдельный сервак на котором тупо две статичные папки для загрузки файлов И ВСЁ.

[Adamos]

Антон Р., у вас с отдельным сервером идефикс от незнания.
Выложите эти статичные папки за пределы рута Апача на том же самом сервере - и никакие исправления .htaccess их уже не достанут.