Разминка для мозгов #2
ru_root — 24.02.2012 Представьте себе, что вы - RHCE, которому повезло получить работу в иностранной хостинговой компании, которая размещает корпоративные сайты.В вашем распоряжении ряд серверов с RHEL5 и WHM. Клиенты используют php, cgi, perl и немного питона.
Недавно вам пришла жалоба из ДЦ, о том, что с одного из ваших серверов идет флуд на другие сайты. Вы обнаружили ряд процессов, которые маскируются под apache и работают с этими правами. Возникает риск того, что эти процессы могут быть использованы не только для атаки, но еще и для порчи сайтов или воровства информации.
Из какого сайта происходит вредительство найти не возможно - все эти процессы запускают себя из /tmp директории со случайными именами, написаны они на perl/php/питоне.
Вы открыли кейс в cPanel и Red Hat, по поводу данной проблемы и получили следующие ответы:
cPanel
- Перевести PHP в режим cgi, так как с правами apache запускаются именно php в режиме dso.
- Установить mod_security для блокировки шеллов и кросс-скриптинга.
- Отключить опасные функции в php.
- Перевести его в safe mode.
Red Hat
- Настроить SeLinux.
- Изолировать сайты в chroot.
- Включить службу аудита.
К сожалению, ни какой из советов вам не подошел:
cPanel
1. Перестает работать часть клиентских сайтов, заточенных под mod_php
2. Некоторые страницы сайтов открываются с ошибками.
3. Теряется функционал некоторых сайтов.
4. Аналогично п.3.
Red Hat
1. WHM не работает с SeLinux
2. WHM не поддерживает chroot
3. Аудит показывает то, что происходит запуск чихпыха/перла/питона с правами апача и это вся информация.
Задача - решить проблему, сохранив нетронутым функционал хостинга и работу клиентских сайтов.
Ответы, как в прошлый раз,скрывать не буду.
|
</> |