Эргил Осин: "статью не читай! чушь пиши!"
Дальше ставим/настраиваем клиент.
...
Так же нужно знать, что на linux-ах x2goclient приносит за собой и запускает openssh-server. Он нужен для работы x2go-клиента, но ему не нужно слушать внешние интерфейсы
Кирилл Казаков: "если виртуалка не должна быть доступна снаружи по выделенному адресу" вы фразы читаете не целиком.
Если виртуалки должны быть доступны именно по уникальному ip каждая - то вам придется покупать подсети.
Если вас устраивает вариант с пробросом портов или проксированием http-трафика через один nginx на остальные виртуалки, то подсеть не нужна.
AquiHostStrider: сноуден сыграл на массовую публику. Не подними он бучу публичную - прикрыли бы его, да и всё.
А так - пропадет сноуден, на правительство начнутся наезды "куда и за что вы его дели?"
в /etc/fstab такое напишите:
/run/mysqld /var/www/site1/mod-tmp/mysqld none bind 0 0
Тогда оно само монтироваться будет при старте железки.
Отмонтировать каталог не обязательно, но вот "только монтировать при каждом рестарте мускуля" - вредно, если mysql часто рестартится.
> php_admin_value[mysql.default_socket] = /mod-tmp/mysqld/mysqld.sock
Верно. Мы даже про это где-то здесь писали - habrahabr.ru/post/113101 (хотя про мускуль может и не писали, но там всё равно много полезняшек).
> Подскажите, какие права и владелец должны быть установлены на папку .../mod-tmp/mysqld
Если php сейчас ходит в сокет - то покормите собаку и ничего не трогайте =)
Mysql всё равно будет работать с /run/mysql и ему важны права именно так.
> Поскольку сокет - это файл
Не совсем так. Это не файл. Но один фиг он принадлежит пользователю mysql - кроме рута и пользователя mysql удалить его никто не сможет.
largotek: всё, что запускает bash внутри себя =)
Сложный вопрос вообще. Я навскидку вспомнил ещё то, что через shellshock можно поабузить опцию forcecommand для ssh-ключа (опять же - нужен ключ, доступ и так далее).
Остальное, что приходит в голову - маргинальщина из области "кто этому чудику рута дал вообще?".
Ну там, например, безпарольный ssh, который запускает bash-скрипт, через который люди авторизуются в... эээ... я не придумал хД
largotek: немного, зато из них и их серверов можно собрать баааальшой такой ботнет =)
Там условие - возможно передать башу переменные окружения удаленно (ssh мы в рассчет не берем, потому что по ssh сначала авторизоваться нужно, а там уже и shellshock не нужен). Так что "если на сервере есть что-то ещё, что юзает баш" = некорректно.
largotek: если вы про " А не объясните в двух словах почему без них не получиться ? "
то, чтобы воспользоваться уязвимостью в bash, само собой нужно, чтобы bash запустился =)
Если просто ткнуться в nginx голый, например, то никакого баша запускаться не будет.
Собственно, cgi - это всё херня, если у вас не установлены всякие webmin/php-cgi/whateverнепонятноедерьмонасбашемторчащее наружу.
Реальная опасность - dhcp-client. Втыкаете ноут в чужой wifi, а с ноутом от рута случается неизвестное=)
