Säkerheten på en public webbserver, LAMP, Ubuntu 11.10

[Erik Landvall]

Håller på o sätta upp en webbserver, LAMP, för första gången som kommer användas i e-commerce syfte med magento.
...servern ligger på CityCloude och kör Ubuntu 11.10

Min bakgrund med Linux e inte jätte omfattande, 2år för att vara mer precis, men ja känner mig iaf inte längre som en total nybörjare.

Jag har nu installerat allt så att det ska funka, vilket det också gör.

Jag har utöver detta installerat följande för att skärpa säkerheten:

• suPHP
  CSF Firewall

Jag har också satt alla mina php filer till 644 och mapparna som är tillgängliga publikt till 755 samt de mappar som ja inte vill att man ska kunna komma åt till 744.
Skulle vilja att man på något sätt kan ställa in så att man inte kan köra filer som är 755 precis som man har på 777 med suPHP. Vet någon hur man kan göra så så får ni gärna berätta. Vill alltså kräva att alla php filer är 644. E ja en idiot som vill detta får ni också gärna hojta till.

Frågan:
Eftersom ja inte känner att ja lite på mig själv tillräckligt så skulle det vara gött om någon kunde påpeka ifall ja har missat något som ja borde tänka på för att komma närmre en "säker" server.

[andol]

Om jag förstår saken rätt så ska det alltså bara köras en webbplats från servern? Vilken säkerhetsvinst har du då tänkt att suPHP ska ge?

[Erik Landvall]

För att inte ha problem med osäkra php script..
Varför undrar du?

Länk om det hela som ja läste:
http://www.ds-hostingsolutions.net/kb/s ... -benefits/

[andol]

Jorå, jag är väl bekant med suPHP, och varför man kan vilja använda det på en server som hanterar flera webbplatser, eventuellt tillhörande olika personer.

Fast i ditt fall så ska alltså servern bara tillhandahålla en webbplats? Varför tror du att det skulle vara säkrare att köra PHP-koden som en godtyckligt vald användare kontra att köra den som webbserverns användare? Har webbserverns användare extra behörighet några filer du inte vill att PHP-koden indirekt ska komma åt?

Faktum är att suPHP introducerar ett potentiellt säkerhetsproblem genom att vara beroende utav en setuid:ad root-binär. Är det alltså inte så att du har en explicit nytta med att köra suPHP så blir det säkerhetsmässiga nettoresultatet snarare negativt.

Sen är det förstås inte fel att ha en viss rimlighetskontroll vad gäller filrättigheter. Det känns å andra sidan som något vilket rätt trivialt kan hanteras utav ens deploymentskript.

[Erik Landvall]

Ok... Ja, jag har ju ingen erfarenhet av suPHP.
Som det låter på dig så e det iaf ingen bra lösning. Men lite mer detaljer kring hur servern ska se ut kommer här utifall att..

Servern sätts upp för en kunds räkning men administreras av företaget. Kunden kommer dock att få ett sFTP inlogg som förhoppningsvis går att lösa så att dom endast kommer åt sin www (public_html) mapp som ligger i deras hemkatalog. Kunden kommer sen att själv kunna ändra och lägga till filer även om detta inte är ytterst troligt att denna kommer göra. Men vem vet om ett år eller två vad som händer. Min tanke e då att dessa som e inne o rotar på servern kanske inte e så vaksamma med vilken kod som läggs in eller vilka filrättigheter som dessa filer har.
Därav att ja vill sätta restriktionen.
En annan e att man själv lägger till en jävla massa filer hela tiden och har svårt att hålla koll på att dom alltid har rätt filrättigheter. I opensource världen så e det ju häller inte alltid vi själva som skriver koden så att säga. Mycke plugins o grejs som ja tycker det e bra om man kan vara lite extra försiktig med.
Ytterligare en anledning e att där e fler på företaget som kommer gå in och redigera koden. Även för dessa vill ja ha satt denna restriktionen, dom kommer dock att logga in med ett admin konto som finns i sudo.

Det du skriver om "setuid:ad root-binär" hajjar ja inte riktigt. Du får gärna förklara.

Ett deploymentskript har ja aldrig hört talas om. Googlade lite men hitta ingen direkt information. Hur skulle något sånt funka? Har du en länk hade det vart guld, eller om du kort kan förklara på vilket något sånt funkar och vilka fördelar detta kan ha.


Tack för att du har tagit dig tid att svara :^)