Re: это война

To: debian-russian@lists.debian.org
Cc: dyv@atwss.com
Subject: Re: это война
From: Yuri Akudovich <yorik@mltdmail.com>
Date: Tue, 28 Feb 2006 12:36:36 +0200
Message-id: <[🔎] 20060228103701.852AB2E66A@murphy.debian.org>
In-reply-to: <[🔎] 1141120545.8163.12.camel@zx.atwss.com>
References: <[🔎] 1141120545.8163.12.camel@zx.atwss.com>

On Tue, 28 Feb 2006 11:55:45 +0200
Yura Dik <dyv@atwss.com> wrote:

Запретить исходящие через iptables для пользователя www-data, а лучше
совсем. Ограничить размер данных для POST запросов (в CGI есть
возможность). В совсем запущенном случае поставить mod_security.

Конечно же примонтировать /tmp с noexec,nodev,nosuid.

Мониторить сервер можно с помощью aide либо другого аналогичного
софта. Если возможно сделать chattr +i на все html и скрипты.

> 
> Есть n-ое количество серверов, каждый из которых периодически взламывают
> следующим образом: от пользователя www-data в /tmp закачивается ELF или
> скрипт, который от имени этого же пользователя и запускается, заставить
> прогеров проверить все cgi на безопасность нереально, что
> посоветуете ???
> 
> 
> 1. можно ли запретить определенному пользователю запускать программы из
> определенного пути, или разрешать только определенные пути ???
> 
> 2. как запретить пользователю (например www-data) открывать socket, но
> при этом чтобы сервер работал 
> 
> 3.  есть ли tools которые будут мониторить такое странное поведение
> (запуск программ из /tmp, открытие socket, вообще подозрительный GET и
> POST запрос)
> 
> 4. чем мониторить web server, проверяя не наличие открытого socket, а
> проверяя например не изменился ли index.html  нет ли 404 ошибки и т.д. 
> 
> 
> 
> 
> 


-- 
Best Regards,
Yury Akudovich

Reply to:

References:
- это война
  - From: Yura Dik <dyv@atwss.com>

Prev by Date: Re: это война
Next by Date: Re: echo "string" > /dev/lp0 vs cups
Previous by thread: Re: это война
Next by thread: Re: это война
Index(es):
- Date
- Thread