Речь идёт о классическом вебсервере например на Debian + Apache язык php
У меня вопрос про такой метод когда кладут некоторые файлы выше www-директории, в частности:
1. Вообще в чём заключается идея такого способа расположения файлов?
2. Какой в этом смыл ведь если злоумышленник узнает пароль на фтп то эти файлы ему всё равно станут доступны?
3. Какие именно файлы и скрипты нужно класть выше www?
1. Нет прямого публичного доступа к файлам
2. Если узнает пароль от FTP станут доступны только те файлы, к которым открыт доступ по FTP.
3. Скрипты к которым не будет прямого обращения (файлы подключаемые конструкицями include и require).
Ну прямое обращение допустим можно в htaccess запретить.
По 2 пункту, а как запретить доступ по ФТП к конкретным файлам? И как же их изменять, если запретить к ним доступ?
По 3 пункту например файл с паролем к БД и библиотеки в случае ООП?
> Как правило, в качестве базового протокола, обеспечивающего соединение, и используется протокол SSH2, но это не обязательно.
Это сервак его ещё должен поддерживать наверняка, представим, что нет такой поддержки.
> Сам по себе протокол SFTP не обеспечивает безопасность работы; это делает нижележащий протокол.
> При загрузке (upload) файлов наряду с данными на сервер могут копироваться и метаданные файла, в частности временные метки (timestamps), что при желании даёт возможность сохранить в загруженном на сервер файле время модификации неизменным.
Ну timestamps удобно конечно, наверное. В каких случаях вообще можно узнать пароль на фтп? Залив шелл на сайт можно? Или нет и тут нужны другие способы (типа кражи с ПК админа сайта)?
@marrk2
> В каких случаях вообще можно узнать пароль на фтп?
С логов ботнета. Тройн, попадает к тебе на компьютер, собирает инфу с различных "файлзил", "тоталкомандеров", "виндсцп" и пр, и передает информацию на сервер.
> Залив шелл на сайт можно?
Нет с помощью шела узнать пароли от фтп нельзя.. Шел это собственно скрипт с помощью которого "кулхацкер" редактирует файлы и тому подобное.
@shaks спасибо большое, вот этот момент ключевой для меня, получается что в достаточной степени защитив свой ПК об угоне ФТП можно не волноваться и сосредоточится на защите от шела. А шел имеет возможность получить доступ к файлам выше www?
Да, шел может лазить абсолютно по всей файловой системе, но это ему очень мало что дает, т.к. везде где выше www все права на файлы и директории выставлены "с умом".
Дело в том что, например, если вебсервер - apache, то шел будет исполнятся от имени пользователя www-data, который мало куда может нос сунуть, а выше www так это тем-более невозможно.
