タグ付けされた質問 「shared-hosting」

8
Linuxユーザーを所有するファイルに制限する
複数(約100人)の顧客が単一のサーバーにシェルアクセスできる共有Webホスティング会社のサーバーセットアップを想像してください。 多くのWeb "ソフトウェア"は、ファイル0777をchmodすることを推奨しています。私たちの顧客がこれらのチュートリアルに従わずに他の顧客にファイルを公開することに不安を感じています。(私は確かにcmod 0777自分で不必要に使用していません!)顧客が自分のファイルにしかアクセスできないようにし、他のユーザーからの読み取り可能なファイルにアクセスできないようにする方法はありますか? AppArmorを調べましたが、それはプロセスと非常に密接に結びついており、その環境では失敗するようです。

1
Apache2 prefork MaxClients ServerLimitのチューニング
Apache2をWebサーバーとして使用している128 GB Ramのマシンがあります(このマシンにはデータベースサーバーがありません。データベースマシンは最大2000接続を処理できる64 GB Ramマシンです)。監視ツールを使用すると、現在44人の忙しいワーカーと12人のアイドルワーカーがいることがわかりますが、私のpreforkモジュールの最適な理論値は何ですか? 負荷の高い時間帯にWebサイトをロードするときに空白のページが表示されることがあり、Apacheエラーログに次のエラーが記録されました。 [注意]子pid 13595終了信号セグメンテーションエラー(11) この問題もどのように解決できますか? 私のApache2 Preforkモジュールの構成: StartServers 3 MinSpareServers 3 MaxSpareServers 5 ServerLimit 3200 MaxClients 3100 MaxRequestsPerChild 0 wwwマシンの無料-h: 合計:128 G空き:97 GB(apache2実行中)共有0bバッファー1.9 Gキャッシュ23 G Apache2およびその他のプログラムで使用されるRam: Private + Shared = RAM used Program 96.0 KiB + 61.0 KiB = 157.0 KiB sh 176.0 KiB + 26.0 …

3
システムの他の部分からのApache仮想ホストの分離
私は、Apache VirtualHostsとしてさまざまなWebサイトをホストするWebサーバーをセットアップしています。これらのそれぞれは、スクリプト(主にPHP、その他の可能性)を実行する可能性があります。 私の質問は、これらのVirtualHostsを相互に、およびシステムの残りの部分からどのように分離するかです。たとえば、WebサイトXがWebサイトYの構成やサーバーの「プライベート」ファイルを読み取らないようにしたい。 現時点では、ここで説明されているように、FastCGI、PHP、およびSUExecを使用してVirtualHostsをセットアップしました(http://x10hosting.com/forums/vps-tutorials/148894-debian-apache-2-2-fastcgi-php-5-suexec -easy-way.html)、ただしSUExecはユーザーが自分のファイル以外のファイルを編集/実行することを禁止するだけです-ユーザーは引き続き設定ファイルなどの機密情報を読み取ることができます。 サーバー上のすべてのファイルのUNIXグローバル読み取りアクセス許可を削除することを検討しました。これにより上記の問題が修正されますが、サーバーの機能を中断せずに安全に削除できるかどうかはわかりません。 私はchrootの使用についても調査しましたが、これはサーバーごとにのみ実行でき、仮想ホストごとでは実行できないようです。 私のVirtualHostsをシステムの残りの部分から分離する提案を探しています。 PS私はUbuntu 12.04サーバーを実行しています 私の答え:私は現在の設定にほぼ従って終了しましたが、すべての仮想ホストに対してchroot jailを実行します。たとえば、chroot jailを入れて/var/wwwから、すべてのユーザーのデータをグループ/その他のr / w / x権限を持つサブフォルダーに入れます。無効。このオプションは、ソースコードを変更せずにすべて実行できるため、特に望ましいものでした。 @Chrisの回答を選択しました。完全に記述され、FTPとSELinuxも考慮されたためです。

8
マルチサイトホスティング-サイトを互いに保護するために見逃されている重要な脆弱性?
編集#2 2015年7月23日:以下の設定で見逃した、またはすべてがカバーされていると信じる理由を与えることができる重要なセキュリティ項目を識別する新しい答えを探しています。 編集#3 2015年7月29日:私は特に、セキュリティ制限を回避するために悪用される可能性のあるものを不注意に許可したり、何かを広く開いたままにしたりするなど、設定ミスの可能性を探しています。 これはマルチサイト/共有ホスティングセットアップであり、共有Apacheインスタンス(つまり、1つのユーザーアカウントで実行)を使用したいが、各WebサイトのユーザーとしてPHP / CGIを実行して、サイトが別のサイトのファイルにアクセスできないようにします。見落としがないことを確認してください(たとえば、symlink攻撃防止について知らなかった場合)。 ここに私がこれまで持っているものがあります: PHPスクリプトがWebサイトのLinuxユーザーアカウントおよびグループとして実行され、投獄されている(CageFSを使用するなど)か、少なくともLinuxファイルシステムのアクセス許可を使用して適切に制限されていることを確認します。 suexecを使用して、CGIスクリプトがApacheユーザーとして実行できないようにします。 サーバーサイドインクルードサポート(shtmlファイルなど)がOptions IncludesNOEXEC必要な場合は、予期しないときにCGIが実行されないようにするために使用します(ただし、suexecを使用する場合はそれほど心配する必要はありません)。 ハッカーがApacheをだまして別のWebサイトのファイルをプレーンテキストとして提供したり、DBパスワードのような悪用可能な情報を開示したりできないように、symlink攻撃から保護します。 ハッカーが利用できなかったディレクティブのみを許可するようにAllowOverride/ AllowOverrideListを構成します。上記の項目が適切に行われれば、これは問題ではないと思います。 MPM ITKは、それほど遅くなく、ルートとして実行されなかった場合に使用しますが、共有Apacheを使用したいのですが、安全に行われることを確認してください。 http://httpd.apache.org/docs/2.4/misc/security_tips.htmlを見つけましたが、このトピックについて包括的ではありませんでした。 知っておくと便利な場合は、CageFSとmod_lsapiでCloudLinuxを使用する予定です。 他に確認または確認することはありますか? EDIT 2015年7月20日:人々は一般的に価値のあるいくつかの良い代替ソリューションを提出しましたが、この質問は共有Apacheセットアップのセキュリティに関してのみ対象となっていることに注意してください。具体的には、1つのサイトが別のサイトのファイルにアクセスしたり、他のサイトを侵害したりする可能性がある、上記でカバーされていないものはありますか? ありがとう!
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.