Pristup do shellu pro cizi lidi
Dalibor Straka
dast na panelnet.cz
Sobota Únor 7 19:35:46 CET 2009
On Sat, Feb 07, 2009 at 02:01:39PM +0100, Vlada Macek wrote:
> Zvazuji spusteni specifickeho hostingu, kde by zakaznici silne uvitali
> SSH pristup. Mam ale respekt pred tim, pustit si nekoho ciziho do shellu.
>
> Platici zakaznik ma pristup "at se staraj za ty prachy". Proti nemu
> nelze bojovat, je treba se prizpusobit.
>
> Nez obchazet nutnost SSH pro tento hosting nejakymi webovymi manazery,
> chtel bych se zeptat, zda nekdo z vas ma zkusenost nebo vi o clanku na
> potrebna temata:
>
> * Zabezpeceni Linuxu zevnitr,
>
> * izolace prihlasenych uzivatelu.
>
> Spoustet pro kazdeho zakaznika plnou virtualizaci je nakladne na RAM a
> spravu, nejsem si jist vyuzitelnosti paravirtualizace. Treba ale
> existuji lepsi moznosti bez virtualizace.
>
> Totiz abych nevymyslel kolo: Rad bych co nejvic standardni a
> udrzovatelny setup OS. Naprosto idealni by byl Debian s minimem zmen. I
> kdyz nemusi to byt nutne Linux.
>
Dobry den,
pristup pres shell je problematicky z hlediska bezpecnosti pokud se na
ne pripoji utocnik. Ovsem pokud mate zakazniky, na ktere mate paky
a bude jich jen par, nebal bych se jit do toho. S tim, ze bude ve
smlouve osetren postih za zneuziti shellu ci kompromitaci jejich klice.
Pocitejte s tim, ze treba 2.6.17 - 2.6.24.1 maji local root exploit
ktery funguje jako "su -" :-]. I kdyz tento lze zneuzit treba volanim
exec() z php :-).
Samostatny virtualni stroj bude moc narocny na hw.
-- Dalibor Straka
Další informace o konferenci Linux