Вопрос про безопасность сайта

Question

[Оптимус Пьян]

Речь идёт о классическом вебсервере например на Debian + Apache язык php

У меня вопрос про такой метод когда кладут некоторые файлы выше www-директории, в частности:
1. Вообще в чём заключается идея такого способа расположения файлов?
2. Какой в этом смыл ведь если злоумышленник узнает пароль на фтп то эти файлы ему всё равно станут доступны?
3. Какие именно файлы и скрипты нужно класть выше www?

Answer 1

[Алексей Кулешов]

1. Нет прямого публичного доступа к файлам
2. Если узнает пароль от FTP станут доступны только те файлы, к которым открыт доступ по FTP.
3. Скрипты к которым не будет прямого обращения (файлы подключаемые конструкицями include и require).

Comments

[Оптимус Пьян]

Ну прямое обращение допустим можно в htaccess запретить.

По 2 пункту, а как запретить доступ по ФТП к конкретным файлам? И как же их изменять, если запретить к ним доступ?
По 3 пункту например файл с паролем к БД и библиотеки в случае ООП?

[Алексей Кулешов]

Забыть про FTP, использовать sFTP!

[Алексей Кулешов]

FTP использовать исключительно для загрузки большого количества статичных файлов (хотя какой смысл если есть gzip + sftp)

[Shaks]

@GingerbreadMSK sFTP - те же яйца

[Оптимус Пьян]

@GingerbreadMSK Погуглил:

> Как правило, в качестве базового протокола, обеспечивающего соединение, и используется протокол SSH2, но это не обязательно.

Это сервак его ещё должен поддерживать наверняка, представим, что нет такой поддержки.

> Сам по себе протокол SFTP не обеспечивает безопасность работы; это делает нижележащий протокол.
> При загрузке (upload) файлов наряду с данными на сервер могут копироваться и метаданные файла, в частности временные метки (timestamps), что при желании даёт возможность сохранить в загруженном на сервер файле время модификации неизменным.

Ну timestamps удобно конечно, наверное. В каких случаях вообще можно узнать пароль на фтп? Залив шелл на сайт можно? Или нет и тут нужны другие способы (типа кражи с ПК админа сайта)?

[Shaks]

@marrk2
> В каких случаях вообще можно узнать пароль на фтп?
С логов ботнета. Тройн, попадает к тебе на компьютер, собирает инфу с различных "файлзил", "тоталкомандеров", "виндсцп" и пр, и передает информацию на сервер.

> Залив шелл на сайт можно?
Нет с помощью шела узнать пароли от фтп нельзя.. Шел это собственно скрипт с помощью которого "кулхацкер" редактирует файлы и тому подобное.

[Оптимус Пьян]

@shaks спасибо большое, вот этот момент ключевой для меня, получается что в достаточной степени защитив свой ПК об угоне ФТП можно не волноваться и сосредоточится на защите от шела. А шел имеет возможность получить доступ к файлам выше www?

[Shaks]

Да, шел может лазить абсолютно по всей файловой системе, но это ему очень мало что дает, т.к. везде где выше www все права на файлы и директории выставлены "с умом".
Дело в том что, например, если вебсервер - apache, то шел будет исполнятся от имени пользователя www-data, который мало куда может нос сунуть, а выше www так это тем-более невозможно.

[Shaks]

Так что совет, выставляй права не от балды, и всё будет хорошо.

[Оптимус Пьян]

@shaks ясно но что бы окончательно с этим разобраться я так понял надо самому себе шел залить и поэкспериментировать )))

[Shaks]

@marrk2 лови - https://github.com/orbweb/PHP-SHELL-WSO/downloads