Vlákno názorů k článku Oddělte od sebe uživatele serveru Apache a PHP od Ahmul . - Jak už tu někdo psal… a co root...
-
Jak už tu někdo psal… a co root exploity? V okamžiku, kdy dáte uživateli možnost spouštět na serveru binárky, nebo loadovat do PHP knihovny, tak dříve nebo později získá server dalšího nechtěného administrátora.
Když už tu byla zmínka o pythonu, zajímalo by mě, jak byste vytvořili bezpečný hosting například právě pro python. Tedy skriptovací jazyk, který není primárně určen pro webhostingové nasazení. Dva způsoby, které mě napadají jsou vytvoření „safe_mode“ patche na vm pythonu a zabránění tak spouštění cizího kódu, nebo co uživatel to vlastní virtuální server.
Pro PHP existuje právě safe_mode, který zakazuje veškeré nebezpečné funkce z pohledu administrátora serveru. Sice stále může dojít k nějakému tomu „přetečení zásobníku“, ale to může i u apache samotného, nebo jiné služby na serveru. Od toho je tu administrátor, aby si hlídal vydané bezpečnostní opravy a včas je aplikoval.
-
BLEK. (neregistrovaný)
Proti těm root exploitům: shodit SUID u všech programů. Zkompilovat si vlastní kernel a zakázat v něm všechno, co nepotřebuješ (nepoužívat kernely z distribucí, protože ty obsahují spoustu serepatiček, které ti na hostingu na nic nejsou, a v nichž ty exploity bývají). Pak to bude bezpečné.
