PHP in BASH [stran 2]

#11bl4ckb1rd, ravno to je fora, da se potem ne more sprehajat po celotnem strežniku, ampak le v svojem direktorij (accountu) za katerega ima pravica in pod katerim PHP laufa. PHP pokliče bash, bash potem laufa pod istim userjem. No vsaj kolikor jaz kapiram zadevo, nimam pa več letnih izkušenj na tem ....

#12Zakaj ne prideš predavat v kako kiberpipo ali kaj? :) Sigurno nafilaš sobo :)

#13Mogoče enkrat, trenutno imam kar nekaj projektov, vključno s predavanjem za MMC Pulsar (je gorenjska kiberpipa, skupaj smo v m3c mreži), kjer sem po novem glavni sistemski administrator, načrtujem neko delavnico postavitve strežnika itd, da se folk zna pravilno lotit zadeve, ker se hitro napake zgodijo že v začetku... kritično je prav načrtovanje tega. Če že v štartu zagnojiš je to potem težje popravljati naknadno in ti vzame ogromno časa.

Roky, ni čisto tako. Tudi če se zalaufa kot user, še vedno ni chrootan v svoj direktorij! Poleg tega, tudi če bi bil, še vedno ni to to, ker kaj hitro bypassaš chroot. Še vedno ma dostop do /tmp, in podobnih direktorijev na strežniku, pa čeprav do določenih direktorijev samo read... je že dovolj da vidi /etc/passwd in podobne kritične datoteke, ki podajo podatke o uporabnikih na sistemu... skratka ni to to. Proti vdorom se moraš boriti na drugačen način (recimo mod_security in suhosin...). Je pa res da je to vsaj osnovna zajezitev impacta, ki se zgodi ob vdoru... se čisto strinjam.

#14bl4ckb1rd, nekako tako kot je default narejeno pri cpanel+centos ... predvidevam?

#15cpanela ne poznam do te mere da bi lahko kaj konkretno ti odgovoril. nikoli nisem bil za take komercialne rešitve, raje sem sam spisal celotno nadzorno ploščo, pa da je bila prirejena sistemu na katerem deluje... na žalost ne vem odgovora. Vem pa da je okrog krožilo kar nekaj exploitov za default inštalacije cpanela tako da... sama default inštalacija ne vem do kakšne mere je varna... verjetno pa ni preveč napačna, če jo uporabljajo major hosti, oz. jo predelajo do določene mere.