Re: это война
On Tue, 28 Feb 2006 11:55:45 +0200
Yura Dik <dyv@atwss.com> wrote:
Запретить исходящие через iptables для пользователя www-data, а лучше
совсем. Ограничить размер данных для POST запросов (в CGI есть
возможность). В совсем запущенном случае поставить mod_security.
Конечно же примонтировать /tmp с noexec,nodev,nosuid.
Мониторить сервер можно с помощью aide либо другого аналогичного
софта. Если возможно сделать chattr +i на все html и скрипты.
>
> Есть n-ое количество серверов, каждый из которых периодически взламывают
> следующим образом: от пользователя www-data в /tmp закачивается ELF или
> скрипт, который от имени этого же пользователя и запускается, заставить
> прогеров проверить все cgi на безопасность нереально, что
> посоветуете ???
>
>
> 1. можно ли запретить определенному пользователю запускать программы из
> определенного пути, или разрешать только определенные пути ???
>
> 2. как запретить пользователю (например www-data) открывать socket, но
> при этом чтобы сервер работал
>
> 3. есть ли tools которые будут мониторить такое странное поведение
> (запуск программ из /tmp, открытие socket, вообще подозрительный GET и
> POST запрос)
>
> 4. чем мониторить web server, проверяя не наличие открытого socket, а
> проверяя например не изменился ли index.html нет ли 404 ошибки и т.д.
>
>
>
>
>
--
Best Regards,
Yury Akudovich
Reply to: