[?] Config server thế nào để tránh local?

[solitary1510]

Là 1 mem mới xin được ra mắt mọi người. Em có 1 con VPS cùi mía. Nhưng nhờ nó em cũng vọc được đủ thứ. Số là dạo này em thấy hacker mọc lên như nấm. Đâm ra chân tay bủn rủn. Mà về bảo mật server kiến thức gần như không có nên hôm nay mạo muội được tham khảo ý kiến của mọi người nên config thế nào cho hợp lí. Từ lúc cài em chả config cái gì ngoài mất cái lặt vặt trong php(dot)ini. Đây là info server em.

184(dot)171(dot)243(dot)87/info(dot)php

Biết chắc 100% đầy chỗ bậy. Mong được mọi người hướng dẫn nhiệt tình. Gửi lời cám ơn trước.

[tuanson360]

Mình không vào xem info đước bác chủ thớt ơi, link die rồi

[solitary1510]

Mình không vào xem info đước bác chủ thớt ơi, link die rồi

Mình vừa restart VPS
--------------
Ok. Đã vào được. Đúng là VPS cùi

[solitary1510]

Mong ai đó giúp em với . Lòng lo lắng không yên với mấy anh chàng hacker nhỏ tuổi nữa. Từng bị keylog một lần mà đuối người

[maychu.net]

1.

Code:

disable_functions	= pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,...

bạn disable nhiều functions quá nên ko thấy hết trên output, không biết có cái này ko:

Code:

disable_functions	= system, exec, shell_exec, passthru

2.

Code:

open_basedir = 
upload_tmp_dir =
user_dir =

Bạn nên thiết lập ít nhất là cho open_basedir, tất nhiên là khi open_basedir được thiết lập thì bạn cần đặt tmp folder trong basedir này:

Code:

open_basedir = /home/username/
upload_tmp_dir = /home/username/tmp

3.
Bạn đang dùng mod_php cho Apache, và các thư mục web thuộc quyền www-data (chung), nên khả năng khi người dùng khác tấn công local là khó tránh khỏi. Nên phân quyền cho user, mỗi user chỉ thao tác được trên 1 thư mục web nhất định. Về khoản này mình thích suPHP hơn (mod_suphp).

4.

Code:

memory_limit = 1024M

Khoản này 1 người dùng cũng đủ làm hệ thống bạn tiêu hết tài nguyên, nên tính peak_memory của các ứng dụng trên hệ thống để thiết lập cho phù hợp. (Trừ trường hợp VPS của bạn có hơn 8GB RAM)

[solitary1510]

Vấn đề 1: Cái đó mình cài sao nó có vậy. Chả dis thêm function nào hết. Để tí xem thử có 5 cái kia chưa

Vấn đề 2: 3 cái đó có chức năng là gì thế? Mình chạy VPS cả 3 tháng nhưng rất ít sử chỉnh sửa nhiều.

Vấn đề 3: Mình sử dụng source WP, khi upgrade nó không chạy được. Nó bắt điền thông số FTP, nhưng khi mình điền nó vẫn không upgrade được. Mình tìm đến biện pháp cuối cùng là chown www-data cho thư mục cài đặt. Mong bạn nói rõ cho mình hiểu cách phân quyền các user và những thứ liên quan. VPS mình chỉ dùng cài mỗi Nginx, Apache2 và mấy thứ linh tinh. Không cài thêm cả Webmin.

Vấn đề 4: Bạn có thể nói rõ hơn được không? Nên đặt giá trị đó là bao nhiêu. VPS mình là VPS Node, Ram 2GB.

Cảm ơn bạn đã giúp đỡ mình

[maychu.net]

Tính về bảo mật thì mình có nguyên tắc 21 điểm khi cài đặt, những điều phát hiện ở trên chưa chắc giúp bạn tránh được local hack; bạn nên tìm thêm tài liệu về "hardening" OR "securising" AND "your linux system", thường thì sẽ có các kỹ thuật jail user, superuser, firewall, fail2ban... một user nguy hiểm thì tốt nhất là loại khỏi hệ thống chứ cấu hình cái nổi gì nữa... dùng maldet ở watching mode cũng tốt... ở đây bạn muốn nói về local hack nên mình còn chưa đề cập đến các kiểu khác, mà hay gặp là brute-force attack.

"Đạo cao một thước, ma cao một trượng", theo dõi hệ thống thường xuyên là một hành vi tốt.

[solitary1510]

Híc. Bạn nói cao siêu quá. Mình chịu. Bạn có một vài PDF về cái đó không? Cho mình xin mớ tài liệu đó . Để đọc ngâm thử xem có nhập được tí nào không.

[maychu.net]

Theo file phpinfo, bạn đang dùng Apache, mod_php.
Vấn đề 2: nhằm hạn chế user này đọc file của user kia (include, readfile...), mà chỉ đọc trong phạm vi thư mục đã thiết lập.
vấn đề 3: kết hợp với vấn đề 2, bạn có thể adduser thêm, bạn chown tức là gán quyền cho user đó.
Vấn đề 4: VPS 2GB RAM mà bạn cho phép mỗi php script chạy được đến 1 GB RAM thì chỉ cần 2 process phá hoại là hệ thống đơ rồi. Mặc nhiên PHP đặt là 256MB, tùy vào script có khi mình đặt chỉ 32M, 64M, 92M, 128M, 256M,... Ai mà viết script chạy 1 tiến trình hết 1GB RAm chứ?!

PS. Mình chả có tài liệu sẵn ở đây, đa số tích lũy từ quá trình vừa cài đặt vừa học hỏi vừa rút kinh nghiệm. Một cấu hình càng riêng thì càng bảo mật.

[solitary1510]

Vấn đề 1, 2, 4 mình đã hiểu. Riêng cái 3 vẫn chưa thông lắm . Con VPS mình đang dùng hiện chỉ chạy IP, và 6 site lặt vặt. các document root mình để trong /var/www/ip, var/www/othersite. Vậy liệu có phải mình tạo thêm các user khác rồi chown từng thư mục cho các user tương ứng.

Một câu hỏi nhỏ? Làm sao để toàn bộ các site chỉ dùng file php(dot)ini của hệ thống và không cho phép chỉnh sửa cấu hình hệ thống qua file php(dot)ini hoặc .htaccess trong document root?