Задать вопрос
sledopit

sledopit

Ответы пользователя по тегу Apache HTTP Server

  • VPS под Ubuntu. Настройка прав доступа?

    sledopit
    @sledopit
    Поставьте apache-mpm-itk и задайте необходимого пользователя для хоста через
    AssignUserID user user
    Ответ написан
    2 комментария
    2 комментария

  • Портативное устройство для размещение веб сервера

    sledopit
    @sledopit
    Ещё есть cubieboard. Он дороже всего на 15 баксов, но значительно мощнее по характеристикам (оперативка, проц, ethernet не через usb шину, NAND flash с андроидом из коробки).
    Впрочем, несмотря на то, что ethernet интерфейс подцеплен напрямую (а не как на raspberry через usb шину) работает так же отвратительно, как и на raspberry. Как пишут в интернетах, всему виной халатное отношение производителя к спекам, и, как следствие, дровам ( ни raspberry, ни cubieboard больше 40 мегабит в моей локалке не выдали ).
    А вообще неплохая табличка.
    Ответ написан
    3 комментария
    3 комментария

  • У пользователя проблемы с доступом к файлам, созданных апачем?

    sledopit
    @sledopit
    Добавить пользователя www_user в группу www-data и права давать 0664.
    А ещё есть apache-mpm-itk, там можно на каждый virtualhost использовать своего пользователя.
    Ответ написан
    1 комментарий
    1 комментарий

  • Каким образом малвари попадают на сайт?

    sledopit
    @sledopit
    Как правило такая фигня распространяется двумя способами:
    А. дыра в сайте. ищется путём усердного чтения логов и поиска шеллов.
    совсем недавно я помогал товаришу с похожей штукой (на ресурсе воткнулись iframe'ы). порядок действий был примерно такой:
    1. сравнение с бэкапом и выявление изменнённых / новых файлов
    2. изучение новых файлов, естественно, один из них оказался шеллом ( .cache_rcnzyz.php )
      (если нет бэкапов, то ССЗБ стоит поискать на стандартные функции шеллов (в случае с php это всякие shell_exec и base64 [стоит учитывать, что свой код так же может их использовать, поэтому искать нужно внимательно])
    3. изучение логов на предмет доступа и заливки данного шелла. у меня были примерно такие строки:
      xxx.xxx.xxx.xx - - [09/Jan/2013:18:09:46 +0400] "POST /images/stories/.cache_rcnzyz.php HTTP/1.0" 200 501 "-" "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0"

      к сожалению злоумышленник оказался достаточно осторожным и с этого ip (который к тому же оказался и зарубежным, т.е. доблестной полиции не пожалуешься) других обращений не было. нужная дыра была найдена по времени создания файла (+- пара минут).
      zzz.zzz.zzz.zz - - [08/Jan/2013:00:02:21 +0400] "POST //index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.0" 200 668 "-" "BOT/0.1 (BOT for JCE)"
    ура, дырка найдена, заплатка сделана, злоумышленник забанен.

    В. человек с ftp доступом к ресурсу подхватил троян (про ssh слышал лишь один раз). ну тут менять пароли и фиксить заражённую машину.
    Ответ написан
    3 комментария
    3 комментария

  • Apache, mpm-itk и единая точка входа?

    sledopit
    @sledopit
    Так в вашем случае 2 варианта развития:
    1. Меняете права у файлов.
    2. Меняете права у владельца процесса.

    По второму пути вы идти по своим соображениям не хотите, хотя это, имхо, самый логичный и безопасный путь.

    А если вы хотите пойти по первому пути, то вы создаете потенциальную дыру в безопасности, когда любой пользователь файлового менеджера имеет доступ не только к своим файлам, но и к чужим. Тем не менее, помимо упомянутой возможности добавить пользователя www-data в кучу групп и сменить umask в веб-сервере и что-там еще имеет доступ к обрабатываемым файлам, есть acl. Можете воспользоваться ими.
    Ответ написан
    Комментировать
    Комментировать