Onderwerp: Je eigen klanten tegen PHP-exploits beschermen

/etc/php.ini disable:

Code:

exec,system,pcntl_exec,parse_ini_file,show_source, curl_exe,shell_exec,passthru,escapeshellarg,escape shellcmd,proc_close,proc_get_status,proc_nice,proc _open,proc_terminate,apache_note,apache_setenv,clo selog,debugger_off,debugger_on,define_syslog_varia bles,openlog,syslog

/tmp/:

Code:

LABEL=/tmp              /tmp                    ext3    defaults,defaults,rw,nosuid,nodev,noexec        1 2

Hoe groot is de kans dat bij een dergelijke aanpassing websites van klanten niet meer gaan werken?
Wat is overigens het verschil tussen dit in je /fstab zetten en de manier met een (mke2fs /dev/tmpMnt)?

En SuPHP en Mod_Security? Is dit de moeite waard ondanks de prestatie-verslechtering?
Ik ben namelijk een beetje ziek van hackers die spammen, phishing-sites hosten, of zelfs porno gaan hosten(!) via chmod-777 websites met een Mambo/phpBB2 uit 2001, waarbij klanten nooit updaten. Helaas zorgt safe_mode ervoor dat klanten veel php-software niet meer kunnen draaien.

Als je het in /etc/fstab zet word het elke reboot meegenomen, en met mk32fs maak je een nieuwe partitie aan, ik heb hier mod_security draaien en mod_evasive op alle servers.

SeLinux maak ik ook geen gebruik van. Geldt hetzelfde voor als safe_mode, het beperkt je klanten te veel. Dan draait zelfs phpMyAdmin niet meer.
(Jammer dat ik geen posts kan wijzigen overigens)

Oorspronkelijk geplaatst door Nivko

Als je het in /etc/fstab zet word het elke reboot meegenomen, en met mk32fs maak je een nieuwe partitie aan, ik heb hier mod_security draaien en mod_evasive op alle servers.

Dat bedoel ik niet. Ik las een topic van Mikey dat hij slechts een aanpassing in /etc/fstab maakt zonder een andere partitie aan te maken. Wat is dan het voordeel van juist wel deze partitie aanmaken?

Als mensen bij de install van het OS deze al een aan hebben gemaakt hoeft dit niet meer, dan kan je er al noexec etc. bijzetten.

Hier niet het geval, maar alle entries in /etc/fstab moeten dus echte partities zijn? Je kunt niet zomaar een map toevoegen en hem op deze manier op noexec zetten? (tegen eggdrops e.d.)

Code:

[root@xeon01 etc]# cat fstab
/dev/VolGroup00/LogVol00 /                       ext3    defaults        1 1
LABEL=/boot             /boot                   ext3    defaults        1 2
devpts                  /dev/pts                devpts  gid=5,mode=620  0 0
tmpfs                   /dev/shm                tmpfs   defaults        0 0
proc                    /proc                   proc    defaults        0 0
sysfs                   /sys                    sysfs   defaults        0 0
/dev/VolGroup00/LogVol01 swap                    swap    defaults        0 0
[root@xeon01 etc]# df
Filesystem           1K-blocks      Used Available Use% Mounted on
/dev/mapper/VolGroup00-LogVol00
                     234381968   7246716 215037308   4% /
/dev/sda1               101086     16596     79271  18% /boot
tmpfs                  2023932         0   2023932   0% /dev/shm
[root@xeon01 etc]#

Nee, tuurlijk niet.. je kan een map toch niet mounten?

http://frankmash.blogspot.com/2005/1...th-noexec.html