Bezpečný web server s jednoduchou správou

Johny

Bezpečný web server s jednoduchou správou
« kdy: 07. 05. 2018, 13:38:26 »
Zdravim,
mam server na ktorom mam ispoconfig, zopar webstanok a mail server.
Hladam sposob ako nieco podobne prevazkovat bezpecnejsie, chcel by som aby jednotlive stránky boli odseba viac odizolovane.
Ale chcel by som zachovat jednoduchu spravu aku ma ispconfig, kde si viem vyklikat novu stranku ftp account, databazu a mail.

Dakujem
« Poslední změna: 08. 05. 2018, 18:59:41 od Petr Krčmář »


Jenda

Re:Bezpecny Webserver
« Odpověď #1 kdy: 07. 05. 2018, 13:51:26 »
Nejlepší by asi byly kontejnery (typu LXC) s thin provisioningem (sdílený read-only storage se systémem). Netuším ale jestli je na to nějaké klikací spravovátko. Trochu méně bezpečné bude spouštět skripty (tipuju že php fastcgi) pro každý web pod jiným uživatelem a nastavit práva tak, aby na sebe uživatelé navzájem nemohli.

Johny

Re:Bezpecny Webserver
« Odpověď #2 kdy: 07. 05. 2018, 14:04:52 »
V sucasnosti to tak funguje ze ispconfig vytory pre kazdy web usera a php sa spusa pod nim ale ma to velke nedostatky.
Nad kontajnermy som rozmyslal, ale chcel by som k tomu aj peky nastroj :)

samalama

Re:Bezpecny Webserver
« Odpověď #3 kdy: 07. 05. 2018, 22:14:33 »
ake velke nedostatky to ma?

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:Bezpecny Webserver
« Odpověď #4 kdy: 07. 05. 2018, 22:26:32 »
Pokud ISPConfig bezpecneji, tak si porid 2 servery a oddel postu od webu, priapadne 3 servery a oddel DB.
Pak muzes dat DB do clussteru (4 servery)....

Pak muzes jet proti jednomu ulozisti vic frontendu, uloziste muzes zrcadlit, ...

Az si udelas analyzu rizik, tak zjistis kterou cestou se dat a proc
« Poslední změna: 07. 05. 2018, 22:28:21 od Vilith »


Johny

Re:Bezpecny Webserver
« Odpověď #5 kdy: 08. 05. 2018, 08:01:31 »
Ispconfig v súčasnej verzii neodeluje od seba weby.
Ak mam povolenú v PHP funkciu exec alebo inú jej podobnú. Viem pomocou príkazov ls, cat .... loziť takmer po celom servery a weboch. Teraz mi niekto odpíše že mám zmeniť oprávnenia. Áno môžem prepísať zdrojak v ispconfig a upratovacie z oprávnený aby  priečinok web čítal len user.  Pri každej aktualizácií nato musim myslieť.
Ak to aj spravím ešte stále môžem vidieť ligy alebo oheň veci, alebo napríklad názvy stránok ktoré tam ešte mám.
Dalsie riešenie bude zakázať tieto "zle" funkcie globalne. Tu ma zase PHP zaujímavú vlastnost, ak ich zákazem neviem ich povoliť len pre jeden web ak to budem potrebovať. Tak ich musím pracne zakazovať pre každý web, a tu je priestor ľudskú chybu.
Je tu jedno riešenie, do novej verzie by sa mal dostať fix, php-fpm by mal podporovať chroot a je tam aj jailkit, zatiaľ to funguje z nginixom

Zato hľadám ktoré by tieto weby oddelilo kontajnerov alebo niečo podobné.

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:Bezpecny Webserver
« Odpověď #6 kdy: 08. 05. 2018, 08:07:42 »
ISPConfig vyuziva Unixovy/Linuxovy system prav pristupu k adresarum a souborum. Pokud povolis funkci PHP exec, tak svym zpusobem mas v systemu "shell uzivatele"

Proste exec zakaz - ostatne na beznem webu nema co delat

Johny

Re:Bezpecny Webserver
« Odpověď #7 kdy: 08. 05. 2018, 08:53:20 »
Mám tam jeden web ktorý ju potrebuje, je to niečo ako monitoring. Potom na inom sa zase používa prikaz convert.
Nejde len o exec tých funkcií je asi 5. O ktorých viem.
V skratke toto sú problémy o ktorých viem určite je ešte niečo o čom neviem a nechcem sa z niekým naháňať kto je múdrejší, chcem tie weby čo najefektívnejšie odizolovat.
Stym žeby som kvôli každej zmene nemusel behať do terminálu.
Ako terminál je super vec,  ale ispconfig má veľkú výhodu že ak chcem niekomu poskytnúť hosting tak mu len vytvorím klienta, site a nastavíme limity a nemusím sa o nič starať, všetky pristupy si vygeneruje sam

andy

Re:Bezpecny Webserver
« Odpověď #8 kdy: 08. 05. 2018, 13:50:18 »
Ak chces volat exec, tak to prekracujes hranicu php hostingu a viac sa na to hodi spominane lxc, openvz, alebo aj docker. Problem je nie len to, ze ti procesy mozu lozit po serveri, ale aj ze ti mozu spustane procesy napr vyzrat vsetku pamat, alebo sa zacyklit ci zamrznut.
Asi by sa dala urobit vhodna konfiguracia cez selinux a cgroups, ale s tym sa budes musiet potrapit sam.

ps: pouzil si google translate, lebo toto je iny naklad