https://opennet.ru/openforum/vsluhforumID8/5629.html Здрвствуйте<br>Подскажите как можно защититься от просмотра содержимого каталогов сервера через скрипты на сайте?<br>любой шел видит многие папки<br>не все доступно но и листинг файлов показывать бы не хотелось дальше своей домашней директории<br><br>Чем можно запретить просмотр?<br><br><br><br><br><br><br><br><br> https://opennet.ru/openforum/vsluhforumID8/5629.html#22 Mon, 14 Apr 2008 21:35:17 GMT Вернитесь в школу, пусть вас научат внимательно читать и грамотно писать. Пока этому не научитесь конструктивного диалога с вами не получится.<br> https://opennet.ru/openforum/vsluhforumID8/5629.html#21 Mon, 14 Apr 2008 12:07:17 GMT хм смотрю и вижу что все ля да ля а толком ниодного решения<br>визуализация - ужоснах - это вдс технология а я о шареде вообщето<br>джайл хм не пробовал но грят ресурсы жрет (как тута выразились при 1к узиров какую же тачку надо иметь)<br>кластеры это дорого пока - они оправдывают себя при оч больших каоличествах пользователей<br>open_basedir это хорошо только когда апач дефолтный - т.е работают все от 1 узира - тоже додумались разработчики блин<br>но у меня славу богу не от одного узира работают (не suexec чтоб ему пусто было) и в таком случае open_basedir не работает<br>поэтому то через вссякие шелы кое чего и видно.<br><br>обидно что никто не хочет палить решения.<br>оно есть и не одно тока все жмут как правило ответ - обдно (<br><br><br> https://opennet.ru/openforum/vsluhforumID8/5629.html#20 Fri, 11 Apr 2008 13:22:55 GMT <br>&gt;и возникает вопрос, а если эти функции нужны для "доброго" :) <br>&gt;дела... вот какой-нибудь программер без них жить не сможет... <br>&gt;и будет кричать, что за отстойный серевер не поддерживает такие функции... <br>&gt;<br><br> А закрыть "ненужные" исходящие соединения файрволом... И открывать только по требованию и только на определённые (нужные "клиенту") адреса/порты..? )<br><br> https://opennet.ru/openforum/vsluhforumID8/5629.html#19 Fri, 11 Apr 2008 05:48:14 GMT &gt;Отключить в настройках PHP функции, отвечающие за работу с сокетами и файлами. <br>&gt;<br><br>Я не программер на ПХП, поэтому я не знаю точно перечень функций которые работают с сокетами и файлами... И вопрос по запрету функций уже поднимался, мне кажется что это не самый удачный выход... и возникает вопрос, а если эти функции нужны для "доброго" :) дела... вот какой-нибудь программер без них жить не сможет... и будет кричать, что за отстойный серевер не поддерживает такие функции...<br> https://opennet.ru/openforum/vsluhforumID8/5629.html#18 Thu, 10 Apr 2008 19:01:15 GMT Отключить в настройках PHP функции, отвечающие за работу с сокетами и файлами.<br> https://opennet.ru/openforum/vsluhforumID8/5629.html#17 Thu, 10 Apr 2008 11:26:52 GMT &gt;Если большое количество пользователей, то пора переходить на простейшие кластеры, в таком <br>&gt;случае чтение /etc/passwd или еще чего-нибудь на сервере не будет играть <br>&gt;никакой роли, важно только не дать пользователем читать данные друг друга. <br>&gt;Делается это через 700 на documentroot каталог пользователя и индивидуальный uid <br>&gt;для каждого, на apache накладывается патч позволяющий ему выполнять скрипты со <br>&gt;сменой uid, подобных патчей несколько, часть из них в свободном доступе. <br>&gt;Рассчитывать на безопасность средствами php не стоит, это все равно одна <br>&gt;большая дырка, никакое отключение функций не спасет. Единственной проблемой остаются эксплойты <br>&gt;дающие повышение привилегий, даже при убранном gcc некоторые из них можно <br>&gt;использовать. <br><br>Спасибо за ответ! Патч для апача (хм, каламбур :)) надо будет посмотреть...<br>И еще один вопрос, в принципе из той же оперы... Есть разные прокси и качалки написаные на пхп, пользователи ими иногда злоупотребляют... как с таким бороться???<br>Спасибо!<br> https://opennet.ru/openforum/vsluhforumID8/5629.html#16 Fri, 04 Apr 2008 07:18:33 GMT Можно с помощью open_basedir в параметрах PHP<br> https://opennet.ru/openforum/vsluhforumID8/5629.html#15 Fri, 04 Apr 2008 03:29:58 GMT Если большое количество пользователей, то пора переходить на простейшие кластеры, в таком случае чтение /etc/passwd или еще чего-нибудь на сервере не будет играть никакой роли, важно только не дать пользователем читать данные друг друга. Делается это через 700 на documentroot каталог пользователя и индивидуальный uid для каждого, на apache накладывается патч позволяющий ему выполнять скрипты со сменой uid, подобных патчей несколько, часть из них в свободном доступе. Рассчитывать на безопасность средствами php не стоит, это все равно одна большая дырка, никакое отключение функций не спасет. Единственной проблемой остаются эксплойты дающие повышение привилегий, даже при убранном gcc некоторые из них можно использовать. <br> https://opennet.ru/openforum/vsluhforumID8/5629.html#14 Thu, 03 Apr 2008 06:32:38 GMT &gt;Уважаемый является квалифицированным телепатом? Завидую :) <br>&gt;Есть очень много способов решения описанной вами(а не автором топика) проблемы, однако <br>&gt;тема эта слишком объемна(не сложна, а именно объемна), чтобы обсуждать ее <br>&gt;на форуме в общем, а не частные случаи. <br><br>ну тут не надо быть телепатом чтобы понять чего человек хочет...<br>&gt;Подскажите как можно защититься от просмотра содержимого каталогов сервера через скрипты на сайте?<br><br>здесь ключевые слова: скрипты и на сайте... как я уже сказал, да некорректно сказано, но понять можно... :)<br>а вот по поводу решения этой проблемы, мне тоже было бы интересно посмотреть на способы решения... если, вы говорите что тема слишком объемна, то хотя бы разделить на направления решения и возможно, если не затруднит, источники информации...<br>например: Виртуализация, возможность ограничения доступа к различным дирректориям/файлам, запрет каких-то функций PHP... <br>я тоже сталкивался с подобными проблемами и пока что я вижу виртуализацию самым лучшим выходом из данной с