[vpsFree.cz: community-list] Zabezpečení webhostingu

Mon Nov 7 12:38:12 CET 2016

Este co sa dockera tyka, aj keby ste to chceli pouzit presne na to co pisal Snajpa ze na co to je urcene, tak odporucam opatrnost, najma na produkcii, zatial s tym je casto viac problemov ako uzitku. Minimalne odporucam precitat https://thehftguy.wordpress.com/2016/11/01/docker-in-production-an-history-of-failure/ <https://thehftguy.wordpress.com/2016/11/01/docker-in-production-an-history-of-failure/> (nie zrovna nas pripad, ale kolegovia co to skusali nasadit mali podobne skusenosti). Poznam viac ludi co realne kontajnery nepotrebuju a vyuzivaju to primarne na rychly setup masin a v takom pripade je ovela vhodnejsie ist cestou ansible, chef a pod.

> On 7 Nov 2016, at 00:35, Jirka Bourek <vpsfree-list at keroub.cz> wrote:
> 
> Oddělovat uživatele v Apache není potřeba, stačí oddělit uživatele, pod kterým běží to PHP. Pak se dá použít normální event mpm, které pro každý požadavek neforkuje nový proces.
> 
> Stanislav Petr wrote:
>> Predpokladam ze tam mas apache. Koukni na mpm itk nebo peruser a rozdel weby na ruzny UID. Pak v PHP vypni vsechny funkce ktery vedou na spusteni kodu (shell_exec, atd...) a nezapomen na nastaveno open_basedir - to je zhruba zaklad kterej je celkem nutnej.
>> 
>> Odesláno z iPhonu
>> 
>> 6. 11. 2016 v 14:00, Pavel Snajdr <snajpa at snajpa.net>:
>> 
>>> Koukam, ze jsem nestihl odpovedet driv, nez nekdo zase vytahne
>>> kontejnery na izolaci atd. - kontenery jsou hlavne pro to, aby clovek
>>> mohl mit uplne jinak nastavene to prostredi operacniho systemu (napr.
>>> ruzne verze interpreru apod.).
>>> 
>>> Lidicky, nezapominejte, ze Unix tohle ma vyresene uz od zacatku - od
>>> toho ma Unix uzivatele, od toho je to viceuzivatelsky system :)
>>> 
>>> Tzn. tedy pustit kazdy web pod jinym userem a zaridit, aby si na urovni
>>> opravneni k tem souborum navzajem nevidely na data.
>>> 
>>> /snajpa
>>> 
>>>> On 11/06/2016 01:51 PM, Miroslav Šedivý wrote:
>>>> Ahoj,
>>>> 
>>>> používám VPS primárně jako webhosting pro svoje projekty. Nedávno jsem
>>>> tam kamarádovi umístil jeho Wordpress a teď se mi tam přes bezpečnostní
>>>> chybu ve WP dostal nějaký bordel - v každém index.php souboru mám x kB
>>>> škodlivého kódu.
>>>> 
>>>> Otázka tedy zní, dá se nějak jednoduše izolovat každý web, aby proces
>>>> jedné domény nemohl zapisovat do souborů jiné domény? V security jsem
>>>> dost laik, takže prosím i shovívavost. Díky.
>>>> 
>>>> S pozdravem
>>>> Miroslav Šedivý
>>>> 
>>>> 
>>>> _______________________________________________
>>>> Community-list mailing list
>>>> Community-list at lists.vpsfree.cz
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>> 
>>> 
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>> 
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>> 
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20161107/1369d598/attachment-0002.html>