We are happy to announce that Vesta is back under active development as of 25 February 2024. We are working on v1 candidate and expect to engage more with the community over the coming months. We are committed to open source, and we encourage contributors to help us build the future of Vesta.
Человек получает данные других аккаунтов
Re: Человек получает данные других аккаунтов
Хм интересно , тема звучит так "Как без настройки сервера, его взломать"
Так как автор темы "Новичок", ему трудно понять что крутить.
Проанализировать логи, сменить пароли.
Какая OS ? у автора ...
Так как автор темы "Новичок", ему трудно понять что крутить.
Проанализировать логи, сменить пароли.
Какая OS ? у автора ...
Re: Человек получает данные других аккаунтов
На учетке admin у меня нет и не было никаких сайтов, её я использовал только для добавления новых пользователей и создания тарифа. Все пользователи имеют такие привилегии:Stesh wrote:В 95% достаточно не ставить никаких сайтов под admin. Тогда в случае взлома каждый будет играться в своей песочнице и не сможет прочитать config.php другого сайта, узнать логин и пароль к mysql и залезть в чужую базу. Вот если взломают/зальют шелл под admin - пиши пропало, это доступ ко всему серверу.
Шаблон Web APACHE2: default
Шаблон DNSBIND9: default
Доступ по SSH: nologin
В шаблонах так же ничего не менял...
Re: Человек получает данные других аккаунтов
В шаблоне Nginx Default нет защиты от симлинков на чужие файлы, поэтому их можно скачать, создав симлинк типа config.txt -> /home/other_user/web/site.com/config.php. Лучше использовать конфиг Nginx Hosting
http://c.vestacp.com/0.9.8/rhel/templat ... efault.tpl
http://c.vestacp.com/0.9.8/rhel/templat ... osting.tpl
Для Апача тоже лучше использовать шаблон Hosting или Basedir, там есть защита PHP open_basedir. В общем шаблоны Default не слишком подходять для хостинга.
http://c.vestacp.com/0.9.8/rhel/templat ... efault.tpl
http://c.vestacp.com/0.9.8/rhel/templat ... osting.tpl
Для Апача тоже лучше использовать шаблон Hosting или Basedir, там есть защита PHP open_basedir. В общем шаблоны Default не слишком подходять для хостинга.
Re: Человек получает данные других аккаунтов
А еще могу порекомендовать сервисы типа http://patchman.co/
Они ищут уязвимости в популярных скриптах и правят их.
Они ищут уязвимости в популярных скриптах и правят их.
Re: Человек получает данные других аккаунтов
Максимально обезопасить свое рабочее местоdiman55 wrote:Я все понимаю, просто хотелось бы как-то обезопасится от всего этого. У меня "голый" сервер, установлена только панель VESTA. Вот я и хочу узнать на этом форуме как можно защитится от подобных взломов. Что нужно/можно поставить на сервер кроме VESTA CP
Использовать длинные пароли (регистр, буквы, цифры и знаки), ключи для авторизации.
Обновлять софты на сервере, следить за уязвимостями в выбранной вами ОС.
Re: Человек получает данные других аккаунтов
Ссылки немного старые, они рабочие исключительно для совместимости :)PeaceData wrote:В шаблоне Nginx Default нет защиты от симлинков на чужие файлы, поэтому их можно скачать, создав симлинк типа config.txt -> /home/other_user/web/site.com/config.php.
http://c.vestacp.com/rhel/7/templates/w ... efault.tpl
http://c.vestacp.com/debian/8/templates ... efault.tpl
Поддержка basedir добавлена еще в прошлом году ко всем шаблонам, к дефолтным тоже.
Re: Человек получает данные других аккаунтов
Да, в общем в Nginx default нет опции "disable_symlinks if_not_owner", которая не дает открыть симлинк на чужой файл.
http://c.vestacp.com/rhel/7/templates/w ... efault.tpl
http://c.vestacp.com/rhel/7/templates/w ... osting.tpl
http://c.vestacp.com/rhel/7/templates/w ... efault.tpl
http://c.vestacp.com/rhel/7/templates/w ... osting.tpl