hihi 0 Zgłoś post Napisano Sierpień 14, 2007 Witam. Czy mógłby ktoś mi polecic jakiś hosting zagraniczny? Najlepiej aby server znajdował sie w uni europejskiej. Moimi wymaganiami jest to aby server był bezpieczny. znaczy sie chrootowany tak jak jest na home.pl. W polsce niestety nie ma chrootowanych serverow oprucz home . pl. Oczywiście cena i parametry hostingu powinny byc w miare na poziomie. pozdrawiam i dziekuje. Udostępnij ten post Link to postu Udostępnij na innych stronach
T 6 Zgłoś post Napisano Sierpień 14, 2007 Czy mógłby ktoś mi polecic jakiś hosting zagraniczny? Najlepiej aby server znajdował sie w uni europejskiej. Moimi wymaganiami jest to aby server był bezpieczny. znaczy sie chrootowany tak jak jest na home.pl. W polsce niestety nie ma chrootowanych serverow oprucz home . pl. Oczywiście cena i parametry hostingu powinny byc w miare na poziomie. A chroot to jakiś synonim bezpieczeństwa? Udostępnij ten post Link to postu Udostępnij na innych stronach
hihi 0 Zgłoś post Napisano Sierpień 14, 2007 http://pl.wikipedia.org/wiki/Chroot dzieki chroot owi, php plus apache staje sie bezpieczne. bo jak jest jakas luka safe_mode czy openbasedir bypass to i tak to nic nie da bo kazdy uzytkownik jest chrootowany i ma dostep do tego co ma. i to daje pewnosc bezpieczenstwa. jak narazie tylko home pl to ma i jestem skazany na nich Udostępnij ten post Link to postu Udostępnij na innych stronach
Prohost 345 Zgłoś post Napisano Sierpień 14, 2007 Nie do końca tak jest. Lepsze hosty mają php jako cgi albo fastcgi i jeden uzytkownik może odczytać tylko swoje pliki - skrypty odpalają się z prawami danego usera i jeśli nie ma on prawa odczytu cudzych plików to ich nie odczyta. safe mode nie musi wcale być włączone aby było bezpiecznie. Także chroota nie potrzebujesz tak naprawdę tylko hosta z suexec i php odpalanego z prawami usera. Udostępnij ten post Link to postu Udostępnij na innych stronach
T 6 Zgłoś post Napisano Sierpień 14, 2007 Nie do końca tak jest. Lepsze hosty mają php jako cgi albo fastcgi i jeden uzytkownik może odczytać tylko swoje pliki - skrypty odpalają się z prawami danego usera i jeśli nie ma on prawa odczytu cudzych plików to ich nie odczyta. safe mode nie musi wcale być włączone aby było bezpiecznie. Także chroota nie potrzebujesz tak naprawdę tylko hosta z suexec i php odpalanego z prawami usera. Dokładnie. Podstawa to skrypty uruchamiane z prawami danego użytkownika. Udostępnij ten post Link to postu Udostępnij na innych stronach
Linux 0 Zgłoś post Napisano Sierpień 15, 2007 To czego Ty szukasz? Chroota/Jaila całego shella czy tylko zamknięcia danych usług w chroocie (np serwera ftp/www)? Udostępnij ten post Link to postu Udostępnij na innych stronach
hihi 0 Zgłoś post Napisano Sierpień 15, 2007 bezpiecznego hostingu na www.. cos na poziome home.pl jest mi ktos cos wstanie polecic? nom php na prawach uzytkownika nie jest wcale bezpieczne. no ale lepsze niz safe_mode=openbasedir=on. najlepiej jak uzytwkownik ma wirtualne srodowisko bom wtedy mniejsze szanse ze cos namiesza. Udostępnij ten post Link to postu Udostępnij na innych stronach
Prohost 345 Zgłoś post Napisano Sierpień 15, 2007 nom php na prawach uzytkownika nie jest wcale bezpieczne Ktoś ci bajek naopowiadał. Jeśli odpalasz skrypty jako user to mozesz tylko operować na plikach tego usera. Jakby nie było bezpieczne to by nie było linuxa. Udostępnij ten post Link to postu Udostępnij na innych stronach
alien 345 Zgłoś post Napisano Sierpień 15, 2007 PHP na prawach uzytkownika jako (Fast)CGI spelnia oczekiwania odnosnie bezpieczenstwa dostepu do plikow, ktorego oczekujesz. A jesli chcesz miec chrootowanie uzytkownikow (zgoda, ze to jakis - czytaj na koncu - dodatkowy poziom bezpieczenstwa, ale gdy inne elementy sa dobrze skonfigurowane to nie jest niezbedny - tak jak pisze Prohost), to co jest zlego w home.pl ? :-). EDIT - Chyba etap.pl tez jest chrootowany. Tak mi sie przynajmniej kiedys wydawalo jak testowalem ich uslugi (ale po takim czasie juz nie jestem pewien na 100%). Poza tym ostatnio przeniesli sie z GTSu zagranice i nie wiem czy dalej maja te sama konfiguracje serwerow. Aha i pamietaj, ze Chroot Jail we FreeBSD (home.pl) > (standardowego) chroota w Linuxie. Standardowy chroot w Linuxie to zabawka, ktora nie daje zadnego istotnego poziomu bezpieczenstwa (lacznie z tym, ze bardzo latwo sie z niego wydostac). Udostępnij ten post Link to postu Udostępnij na innych stronach
pleple 0 Zgłoś post Napisano Sierpień 15, 2007 Standardowy chroot w Linuxie to zabawka, ktora nie daje zadnego istotnego poziomu bezpieczenstwa (lacznie z tym, ze bardzo latwo sie z niego wydostac). Jak się czyta takie coś to od razu widać, że ktoś nie ma pojęcia co pisze. Udostępnij ten post Link to postu Udostępnij na innych stronach
MirandaInternet 0 Zgłoś post Napisano Sierpień 16, 2007 Wtrącę swoje trzy grosze: 1. Chroot jako dodatek do praw użytkownika i (F)CGI jest dodatkowym zabezpieczeniem - zdarzają się błędy open_basedir i safe_mode, które niweluje chroot. 2. Chroot też daje się ominąć, ale nie jest to takie łatwe. 3. Są jeszcze inne metody dodatkowego zabezpieczenia, jak np. grsecurity - tak! Zabezpieczenia serwera WWW, nie tylko samego systemu serwera. Udostępnij ten post Link to postu Udostępnij na innych stronach
pleple 0 Zgłoś post Napisano Sierpień 16, 2007 2. Chroot też daje się ominąć, ale nie jest to takie łatwe. Nom, najpierw trzeba mieć root-a a kernel musi być, że tak powiem, waniliowy. Można zasadniczo powiedzieć, że jeśli w chroocie nie można tworzyć i nie ma żadnych plików urządzeń, nie ma suidowanych programów i żaden z uruchomionych tam daemonów nie działa jako root to z tego chroota nie da się wyjść. Udostępnij ten post Link to postu Udostępnij na innych stronach
alien 345 Zgłoś post Napisano Sierpień 16, 2007 Jak się czyta takie coś to od razu widać, że ktoś nie ma pojęcia co pisze. No prosze bez takich, poziom zabezpieczenia chroota w kernelu bez grsecurity jest niski. Nikt mnie nie przekona, ze jest inaczej (a wyciecie z chroota wszystkie co moze miec dostep do uprawnien roota nie zawsze jest mozliwe). A przeciez pisalem o standardowym. Bo tak sie uczepiles tego chroota, jakby to mialo byc lekarstwo na cale zlo. To jednak az sie prosilo zeby zauwazyc, ze czysty chroot to nie jest lekarstwo na cale zlo. Moze jeszcze twierdzisz, ze czysty chroot Linuxowy to jest to samo co jail we FreeBSD? Bo zaprzeczajac moja wypowiedz insynuujesz taki wniosek. Dlatego prosze o powstrzymanie sie od tego rodzaju komentarzy, bo ja mam doskonale pojecie co tam napisalem. Nie opieralbym bezpieczenstwa systemu na czystym chroocie ze standardowych kerneli. To jest dodatkowe zabezpieczenie, ale nie traktowalbym go na czystym kernelu jako zabezpieczenie kluczowe. Koniec i kropka. Sam osobiscie jestem mocno zwiazany z idea chrootowania systemow (takze na poziomie uzytkownika), i wdrazam takie rozwiazania na swoich maszynach. Ale trzeba miec swiadomosc ile elementow musi byc spelnione, aby to rozwiazanie mialo sens. I standardowy chroot nie spelnia moich oczekiwan. Sadze, ze nasze spojrzenia na temat chroota sa bardzo podobne. Z ta roznica, ze ja nie twierdze, ze nie masz pojecia o tym co piszesz. Udostępnij ten post Link to postu Udostępnij na innych stronach
pleple 0 Zgłoś post Napisano Sierpień 16, 2007 Napisałeś (jeszcze raz zacytuje): Standardowy chroot w Linuxie to zabawka, ktora nie daje zadnego istotnego poziomu bezpieczenstwa (lacznie z tym, ze bardzo latwo sie z niego wydostac). Jeśli użytkownik nie ma uprawnień superużytkownika i chroot jest dobrze skonfigurowany (co nie jest znów takie trudne) to nie ma możliwości wyjścia z niego. To zdecydowanie jest istotne zwiększenie poziomu bezpieczeństwa. Ostatecznie użytkownik nie powinien NIGDY dostać roota w przypadku systemu hostingowego, o którym mówimy. Dla tego stwierdziłem, że piszesz jakbyś nie miał o tym pojęcia. Bo tak sie uczepiles tego chroota, jakby to mialo byc lekarstwo na cale zlo. To jednak az sie prosilo zeby zauwazyc, ze czysty chroot to nie jest lekarstwo na cale zlo. Moze jeszcze twierdzisz, ze czysty chroot Linuxowy to jest to samo co jail we FreeBSD? Bo zaprzeczajac moja wypowiedz insynuujesz taki wniosek. Zupełnie nie wiem czemu uważasz, że się przyczepiłem iż chroot jest jakimś lekarstwem. Uważam po prostu iż twierdzenie, że chroot to zabawka, która właściwie nic nie zmienia jest nie prawdą. Co do tematu chroot vs jail to nie ma co w ogóle porównywać - jails to jest bardziej jak VServer albo OpenVZ (choć może znów nie aż tak). . Sadze, ze nasze spojrzenia na temat chroota sa bardzo podobne. Z ta roznica, ze ja nie twierdze, ze nie masz pojecia o tym co piszesz. Teraz też tak sądzę. Jednak nadal uważam, iż mocno przesadzasz degradując rolę (nawet standardowego chroota) do zabawki. Zabezpieczenie serwera (zresztą czegokolwiek) polega na ustawieniu całego łańcucha bezpieczeństwa, składającego się z wielu czynników. Użycie jakiegokolwiek rozwiązania w przypadku kiedy zignorujemy inne elementy zawsze będzie złe. Stąd oczywistym jest iż chroot jest tylko jednym z elementów systemu zabezpieczeń. Podkreślę jednak raz jeszcze iż poprawnie skonfigurowany ma istotny wpływ na bezpieczeństwo serwera. Nie chcę robić z siebie najmądrzejszego ani też nikogo denerwować ale sądząc po tonie Twojej ostatniej wypowiedzi to chyba sam mogłbyś przyznać iż Twoje wcześniejsze stwierdzenie jest trochę przesadzone, co? Udostępnij ten post Link to postu Udostępnij na innych stronach
alien 345 Zgłoś post Napisano Sierpień 16, 2007 Nie chcę robić z siebie najmądrzejszego ani też nikogo denerwować ale sądząc po tonie Twojej ostatniej wypowiedzi to chyba sam mogłbyś przyznać iż Twoje wcześniejsze stwierdzenie jest trochę przesadzone, co? Jest, bo mialo byc! :-) Uzycie okreslenia "zabawka" to jest oczywiscie stwierdzenie dalece przesadzone. Ale dokladnie taki byl moj cel - zwrocenie uwagi na problem. W ten dosadny sposob chcialem zwrocic uwage na fakt, ze wykonanie polecenia chroot to dopiero poczatek drogi. I ze w moim odczuciu chroot nie jako element sam w sobie jest wazny, ale jak - jak to okresliles - pewien lancuch zabezpieczen. Zbyt doslownie potraktowales te wypowiedz, nie dostrzegajac w niej hiperbolizacji. Ale wina lezy po mojej stronie, bo moglem szerzej umotywowac swoja opinie, by nie bylo watpliwosci. Ciesze sie, ze sprawe udalo sie wyjasnic :-). P.S. Przez moment pomylilem Cie z autorem watku, stad odnioslem sie do kilku wypowiedzi autora watku, nie Ciebie - przepraszam. Chcialem jak najszybciej odpisac, majac w tle duzo pracy i wszystko pomieszalem :-). Udostępnij ten post Link to postu Udostępnij na innych stronach
Prohost 345 Zgłoś post Napisano Sierpień 16, 2007 MODERATOR!!! do odpowiedniego działu Udostępnij ten post Link to postu Udostępnij na innych stronach
hihi 0 Zgłoś post Napisano Sierpień 16, 2007 PHP na prawach uzytkownika nie daje bezpieczenstwa. Mozna przeciez w chroocie uruchamiac php na prawach urzytkownikow. Jest to plus ale to tylko bonus, ktory mozna ominac. Bom niestety temu kto mysli, ze samo odpalenie php i prawami uzytkownikow zapewni bezpieczenstwo, to biada jego serverowi i klienta. Wiem co mowie bo php znam lepiej niz wiekszosc adminow, bo sam wspomagalem zespol developerow php. I wiem, ze php niechrotowane to samobojstwo. Dlatego powstal ten topic, by ktos mi polecil normalny i bezpieczny hosting!W polsce takich serverow nie ma.. tz jedyny jaki znam to home pl PHP i apache razem nie jest bezpieczne. Wielle luk, nie mowiac juz o podstawowych typu safe_mode i openbase_dir bypass. daje eldorado dla tych co chca penetrowac servery. Najlepsze rozwiazanie to uzywac nie linux i windowsa tylko openbsd lub cos z rodziny bsd (wykluczajac dawrina). W OpenBSD w pakiecie Apache, server www jest chrootowany. A wyjscie z niego jest nie mozliwe. Linux i windows to systemy na zwyklych ludzi, jednak prawdziwe unixy znajduja zastosowanie w wiellkich i dobrych firmach. Home pl bazuje na freebsd i przerobionym apache. I takiego providera bym potrzebowal Udostępnij ten post Link to postu Udostępnij na innych stronach
alien 345 Zgłoś post Napisano Sierpień 16, 2007 1. Jesli PHP jest uruchamiany jako (Fast)CGI, otrzymujac juz na dzien dobry uprawnienie uzytkownika to jesli twierdzisz, ze mozna to "obejsc" i wyjsc z uprawnienia to nie nazywaj tego dziura w PHP tylko dziura w kernelu Linuxa ;-). 2. Czytasz ten watek w ogole? Sprawdz etap.pl. 3. AFAIK i AFABH (=As Far As Believe Home) Idea WebServer to nie przerobiony Apache. 4. Poszukaj hostingu na Solarisie. Albo lepiej i5. Bardziej unixowate, zapewne bezpieczniejsze ;-). Udostępnij ten post Link to postu Udostępnij na innych stronach
Prohost 345 Zgłoś post Napisano Sierpień 16, 2007 PHP na prawach uzytkownika nie daje bezpieczenstwa. Mozna przeciez w chroocie uruchamiac php na prawach urzytkownikow. Jest to plus ale to tylko bonus, ktory mozna ominac. Bom niestety temu kto mysli, ze samo odpalenie php i prawami uzytkownikow zapewni bezpieczenstwo, to biada jego serverowi i klienta. Wiem co mowie bo php znam lepiej niz wiekszosc adminow, bo sam wspomagalem zespol developerow php. I wiem, ze php niechrotowane to samobojstwo. Dlatego powstal ten topic, by ktos mi polecil normalny i bezpieczny hosting!W polsce takich serverow nie ma.. tz jedyny jaki znam to home pl PHP i apache razem nie jest bezpieczne. Wielle luk, nie mowiac juz o podstawowych typu safe_mode i openbase_dir bypass. daje eldorado dla tych co chca penetrowac servery. Najlepsze rozwiazanie to uzywac nie linux i windowsa tylko openbsd lub cos z rodziny bsd (wykluczajac dawrina). W OpenBSD w pakiecie Apache, server www jest chrootowany. A wyjscie z niego jest nie mozliwe. Linux i windows to systemy na zwyklych ludzi, jednak prawdziwe unixy znajduja zastosowanie w wiellkich i dobrych firmach. Home pl bazuje na freebsd i przerobionym apache. I takiego providera bym potrzebowal Pewnie dlatego nikt chroota nie robi bo jest zbędny. Nie bedę mówił nawet o tym, że chroot np. na apacha nie uchroni cię przed odczytywaniem innych virtual hostów tylko przed wyjściem z katalogu apacha - do tego jest potrzebny chroot na proces php czy tam innego interpretera i/lub odpalanie z usera (co samo w sobie już nie pozwala na odczyt plików nie należących do tego usera). Jest to kwestia kilku linijek kodu wrappera przed wywołaniem binarki interpretera. Dlaczego nikt nie robi(no oprucz home)? Bo nie ma po co. Nie wiem co ci daje openbasedir - możesz go wcale nie uzywać i tak nie możesz odczytać/zapisać cudzego pliku? Zbędne zabezpieczenie. To samo safemode. Nie wiem dlaczego o nich mówisz - mają zerowy związek z bezpieczeństwem - to jest tylko dla php jako mod przydatne. Eldorado to może być na php jako mod bo wtedy lata na jednym userze i możesz sobie czytać inne virtual hosty. Nikt chyba nie ma na serwerach kerneli z dziurami - więc powodzenia w hakowaniu serwerów bo bez roota to dużo nie zdziałasz. To co ty piszesz to są poprostu głupoty bo nie wiesz jak co działa - śmieszne nawiązania do openbasedir i safemode. Nie mówiąc o tym, że php to nie wszystko - są jeszcze inne języki. Nie ma zresztą co z tobą dyskutować bo nie bardzo wiesz co i jak Pozdrawiam. Udostępnij ten post Link to postu Udostępnij na innych stronach
hihi 0 Zgłoś post Napisano Sierpień 16, 2007 home pl ma wielle modulow apache. kodu ich servera nie widzialem.nom wierze w sile bsd:) php w ogole nie dba o bezpieczenstwo. http://securityreason.pl/achievement_exploitalert/9expl mojej produkcji i php nie zrobilo nic by to zalatac oficjalnie. niestety utracilem mozliwosci ingerencji w kodzie tak jak wiellu znanych programistow z powodu pewnego zwarcia i z w powodu konfliktu nad kierunkiem rozwoju php.Jesli ktos potrafi zabezpieczyc swoj server przedtym, to oceniam jego system na 3/10. Dlatego opublikowalem ten dziure bo jest ona dlamnie malo wartosciowa a w rzeczywistosci daje mozliwosc penetracji servera omijajac safe_mode, openBase_dir i disabled_functions.Sprawdze kilka serverow (jesli jest 14 dniowy okres probny), i jak wydaja mi sie bezpieczne (choc dlamnie home.pl) nie jest secure. to cos kupie proste To co ty piszesz to są poprostu głupoty bo nie wiesz jak co działa - śmieszne nawiązania do openbasedir i safemode. Nie mówiąc o tym, że php to nie wszystko - są jeszcze inne języki. Nie ma zresztą co z tobą dyskutować bo nie bardzo wiesz co i jak Wydajesz mi sie wszechwiedzacy:) OK. mozesz takim byc. Problemem jest to, iz wiekszosc ludzi nie wie jak dziala (w podstawach) procesor. A servery sa stawiane przez ludzi po studiach lub i bez. Wiedza zazwyczaj czerpana jest z google. Ale co bedzie jak ktos ma 0 daye.. i nikt onich nie wie? np ja mam a ty onich nic nie wiesz? Dalej uwazasz, ze chroot to niepotrzebny proces i nic nie daje? Ja na laptopie i wszedzie mam OpenBSD. Zdecydowalem sie na taki specyficzny system bo wiem jak dziala linux. i wiem jak dziala komputer. A openbsd wybralem z rodziny BSD bo wiem jak dziala freebsd:) btw: proboj sprzedawac hosting bez php. powodzenia Pozdrawiam Udostępnij ten post Link to postu Udostępnij na innych stronach
Prohost 345 Zgłoś post Napisano Sierpień 16, 2007 home pl ma wielle modulow apache. kodu ich servera nie widzialem.nom wierze w sile bsd:) php w ogole nie dba o bezpieczenstwo. http://securityreason.pl/achievement_exploitalert/9expl mojej produkcji i php nie zrobilo nic by to zalatac oficjalnie. niestety utracilem mozliwosci ingerencji w kodzie tak jak wiellu znanych programistow z powodu pewnego zwarcia i z w powodu konfliktu nad kierunkiem rozwoju php.Jesli ktos potrafi zabezpieczyc swoj server przedtym, to oceniam jego system na 3/10. Dlatego opublikowalem ten dziure bo jest ona dlamnie malo wartosciowa a w rzeczywistosci daje mozliwosc penetracji servera omijajac safe_mode, openBase_dir i disabled_functions.Sprawdze kilka serverow (jesli jest 14 dniowy okres probny), i jak wydaja mi sie bezpieczne (choc dlamnie home.pl) nie jest secure. to cos kupie prosteWydajesz mi sie wszechwiedzacy:) OK. mozesz takim byc. Problemem jest to, iz wiekszosc ludzi nie wie jak dziala (w podstawach) procesor. A servery sa stawiane przez ludzi po studiach lub i bez. Wiedza zazwyczaj czerpana jest z google. Ale co bedzie jak ktos ma 0 daye.. i nikt onich nie wie? np ja mam a ty onich nic nie wiesz? Dalej uwazasz, ze chroot to niepotrzebny proces i nic nie daje? Ja na laptopie i wszedzie mam OpenBSD. Zdecydowalem sie na taki specyficzny system bo wiem jak dziala linux. i wiem jak dziala komputer. A openbsd wybralem z rodziny BSD bo wiem jak dziala freebsd:) btw: proboj sprzedawac hosting bez php. powodzenia Pozdrawiam Nie jestem wszechwiedzący ale to są podstawy. Postaw sobie php jako (f)cgi i zobacz. Nawet jakbyś miał exploit do php dający ci dostęp do exec itp. to i tak nie wyjdziesz ze swojego usera - do tego musisz mieć exploita kernela. chroot na całego apache moze być przydatny aby chronić kernel i system - jest totalnie zbędny na virtual hosty które są chronione przez userów. Tu nie chodzi o to jak co działa i czy ktoś ma studia czy inne tego typu rzeczy. Jak ktoś hosting prowadzi to przeciez nie będzie stawiał php jako moda - to jest podstawa. Opisujesz wszystko dla php jako moda co jest twoim błędem - prawie nikt nie uzywa tego bo jest to niebezpieczne. Moda php można używać mając jeden serwis na serwerze bo wtedy sie opłaca dla szybkości. Udostępnij ten post Link to postu Udostępnij na innych stronach
alien 345 Zgłoś post Napisano Sierpień 16, 2007 @hihi Prohost juz wszystko skomentowal, ja wczesniej tez. Mylisz poziomy. Exploit, ktory pokazales exploituje zabezpieczenia wewnetrzne PHP. Nie od dzis wiadomo, ze nie tworzy sie jedynych zabezpieczen na poziomie PHP. Nikt powazny nie opiera bezpieczenstwa systemu na openbasedir czy safemode. Bo to w istocie oznacza jedynie bezpieczenstwo wewnatrz tej aplikacji, a nie na zewnatrz - czyli bezpieczenstwo do momentu exploitowania, co wykazales. Ale Twoj exploit nie zadziala gdy uprawnienia uzytkownika sa pilnowane na poziomie systemu. Prosze o jakies argumenty w temacie dlaczego Linux i jego bezpieczenstwo jest be. I prosze nie sprowadzac tego tylko do okreslenia co w BSD jest realizowane lepiej, bo ja sobie zdaje z tego sprawe. Ale co w Linuxie jest na tyle zle zrobione, ze czyni to z niego systemu nie spelniajacy Twoich kryteriow bezpieczenstwa. Co do samych bledow PHP jeszcze. Nie neguje, ze wystepuja i ze przez zespol developerski PHP sa usuwane bardzo wolno. Ostatnio mialem tego jaskrawy przyklad. Ostatnio KEI (ktore dostarcza czesc platformy pod administrowane przeze mnie serwery) dokonalo aktualizacji PHP4 do 4.4.7. I chyba do dzis zaluja tego kroku. W 4.4.7 ujawnil sie bardzo powazny blad w jednej z funkcji (nie wykluczone, ze byl to zbieg kilku okolicznosci, ale sie ujawnil). Na nieszczescie pewne skrypty jednego uzytkownika korzystaly z tej funkcji i natychmiast obciazenie maszyny generowane przez te skrypty skakalo do 60% w sposob dlugotrwaly. Przez dlugie godziny siedzielismy z adminami KEIa probujac ustalic co jest grane - w koncu diagnoza padla, ze to przez blad w 4.4.7. Jedynym lekarstwem okazalo sie przelaczenie skryptow do "piatki". Team PHP zostal powiadomiony przez KEI, podobno z reszta juz wczesniej dostali informacje o bledach w okreslonych funkcjach. I jak dotad... lat na 4.4.7 dalej nie ma. Takze nie musisz dowodzic, ze z bezpieczenstwem PHP jest roznie, jak z reszta bezpieczenstwem kazdej aplikacji, bo kazda ma prawo miec bledy. Skoncentruj sie raczej na bezpieczenstwie na poziomie systemu (ktory tez ma prawo miec bledy, ale to juz troche inna klasa :-) ). @Prohost: Generalnie sie z Toba zgadzam, poza jednym detalem. Piszac o mod_php masz chyba na mysli standardowe konfiguracje. Mod_php moze byc zrealizowany w sposob bezpieczny, na uprawnieniach uzytkownika. Ale wymaga to niekonwencjonalnego podejscia. Pod rozwage: KEI posiada PHP jako mod_php :-). Nie mowie tego, aby dolac oliwy do ognia, bron boze. Pozostawiam po prostu pod rozwage, bo to ciekawy przypadek. Bardzo mnie osobiscie ich rozwiazanie w tym zakresie przypadlo do gustu i sam je podchwycilem. Udostępnij ten post Link to postu Udostępnij na innych stronach
hihi 0 Zgłoś post Napisano Sierpień 16, 2007 kiedys.. dawno temu linuxa uyzwalem. jednak postanowilem przejsc na bsd. zaczelo sie od freebsd.. a skaczylo na openbsd. pod openbsd wiem jaki mam system i co w nim mam. nie dziala mi jakas czesc? napisze sterowniki i wysle. bo openbsd jest trudny jednak jak sie zrozumie kod zrodlowy to staje sie piekny. glownym atutem dla ktorego uzywam openbsd to fakt ze system budujesz ty. a nie jak jest w linuxie, system jest zbudowany. php nie ma w swych zalozeniach, iz ma byc bezpieczne, jednak wiekszosc serverow ma w sobie bezpieczenstwo oparte na safe_mode:) porazka. Udostępnij ten post Link to postu Udostępnij na innych stronach
alien 345 Zgłoś post Napisano Sierpień 16, 2007 kiedys.. dawno temu linuxa uyzwalem. jednak postanowilem przejsc na bsd. zaczelo sie od freebsd.. a skaczylo na openbsd. pod openbsd wiem jaki mam system i co w nim mam. nie dziala mi jakas czesc? napisze sterowniki i wysle. bo openbsd jest trudny jednak jak sie zrozumie kod zrodlowy to staje sie piekny. No tak, ale to raczej argument co najwyzej za OpenBSD, a nie przeciw Linuxowi ;-). Tez pisze sterowniki pod Linuxa. Czy cos to wnosi? ;-) glownym atutem dla ktorego uzywam openbsd to fakt ze system budujesz ty. a nie jak jest w linuxie, system jest zbudowany. Budujesz? W sensie kompilacji? Czy organizacji? 1. A jesli ktos sobie sam wszystko buduje? To co, nie uzywa juz wtedy Linuxa? :-). 2. Jesli kompilacji: Osobiscie jestem zdania, ze lepiej polegac na non-stop aktualizowanych repozytoriach, niz bawic sie ciagle we wlasne kompilacje. To daje szybsza reakcje na bledy. Ciezko sledzic i reagowac na wszystkie security fix, ktore sie pojawiaja do wszystkich programow w systemie. Tym ciezej, jesli sie administruje farma serwerow - to sie w gruncie rzeczy i tak sprowadzi do stworzenia wlasnego repozytorium, tylko, ze latwo pominac jakies istotne zaleznosci. php nie ma w swych zalozeniach, iz ma byc bezpieczne, jednak wiekszosc serverow ma w sobie bezpieczenstwo oparte na safe_mode:) porazka. Bez przesady. Oddzielmy te powazne od tych mniej powaznych. Udostępnij ten post Link to postu Udostępnij na innych stronach
hihi 0 Zgłoś post Napisano Sierpień 16, 2007 No tak, ale to raczej argument co najwyzej za OpenBSD, a nie przeciw Linuxowi ;-).Tez pisze sterowniki pod Linuxa. Czy cos to wnosi? ;-) dlamnie tak. Budujesz? W sensie kompilacji? Czy organizacji? organizacji. ja sam jak instaluje openbsd to wgrywam minimalne rzeczy (wrac z gcc itd (basexxm, bsd*) a nastepnie sciagam aktualne zrodala /usr/src i je kompiluje wedlug mej potrzeby. moim zdaniem to swietne bo kazda aplikacja jaka bede mial na servie czy kompie jest mi znana. wiem co i jak. 2. Jesli kompilacji: Osobiscie jestem zdania, ze lepiej polegac na non-stop aktualizowanych repozytoriach, niz bawic sie ciagle we wlasne kompilacje. To daje szybsza reakcje na bledy. Ciezko sledzic i reagowac na wszystkie security fix, ktore sie pojawiaja do wszystkich programow w systemie. Tym ciezej, jesli sie administruje farma serwerow - to sie w gruncie rzeczy i tak sprowadzi do stworzenia wlasnego repozytorium, tylko, ze latwo pominac jakies istotne zaleznosci. a wiesz co to cvsup i portupgrade? jak nie to ci powiem ze to aplikacje ktore dajesz do crona i sciagaja ci najnowsze zrodelka, i jak odpowiednio zrobisz programiki.. to bedza ci sciagalc zrodla i kompilowala wedlug twego zyczenia. we freebsd masz /usr/ports co w linuxie chyba nie wystepuje. odpowednio zrobione makefile daja ci mozliwosc opytmalnej kompilacji dla twego systemu. no i dodajesz swoje (patche), 3 grosze i masz luksus. Z reszta nie ma sprawa. linuxa nie uzywam i nigdy nie bede juz uzywal pewnie. Ciesze sie z jednego. Ze nie musze budowac i adminowac serverow. Moja praca polega na analizie bezpieczenstwa wybranych aplikacji.. serverow.. no i moze dlatego nie potrafie znalesc zadnego dobrego webhostingu? Udostępnij ten post Link to postu Udostępnij na innych stronach