Dnia czwartek 13 listopad 2008, Tomasz Pala napisał: > > Dlatego jeszcze raz zapytam: podasz przyklad ilustrujacy dziure w > > bezpieczenstwie wynikajaca z a+r /srv ? > > Halo! Słychać mnie? Puk puk! Haaaalooooo! > > Naruszeniem zasad bezpieczeństwa będzie to, że ktoś w ogóle zobaczy > jakie wirtualki hostuję. pff.. ja swoje hostuję w /home/virtualki/$NAZWA_DOMENY/ - wgląd ma apacz, dany user poprzez ftp, całość "zakrywa" AppArmor. DZIAŁA, zapewniam.
Pamiętaj, że jak ktoś będzie chciał wiedzieć czy hostujesz daną stronę, jakie strony hostujesz albo ile ich masz - sprawdzi to tak, czy inaczej. Np. dzwoniąc do BOK ;) > Osobiście mam jedną wirtualkę, która nie ma nawet wpisów w DNS-ach i > trzeba sobie samemu do hosts dopisać jej nazwę i adres IP. Nie będzie mi > się podobało, jak ktoś zobaczy jej nazwę, a nadawanie losowych nazw > podkatalogom /srv też niezbyt mi odpowiada. To (IMHO) nie rozwiązanie. Hint: przenieś wirtualki poza /srv, poczytaj o AppArmor :) > > Problem jest, ze ktos moze chciec, zeby inni mieli do niego pelny dostep. > > A skoro nalezy do FHS, to uprawnieniami do niego powinien zarzadzac rpm a > > nie admin. Jak chcesz ukryc dane, to umiesc je w go=x /srv/tajne i nikomu > > to nie bedzie przeszkadzac. > > Security by obscurity tak naprawde wcale nie zwieksza bezpieczenstwa a > > jedynie ukrywa jego brak. I bylo to juz w wielu miejscach wielokrotnie > > walkowane. > > A chwalisz się na lewo i prawo ile zarabiasz i ile masz na koncie? > Przecież bank masz bezpieczny, nikt nie ukradnie mając wiedzę jedynie o > kwotach. > Jakieś wypasione konfiguracje też ot-tak udostępnisz każdemu userowi > systemu? Bo dla mnie bezpieczeństwo nie znaczy tylko 'nikt nie narobi > bagna', ale również 'nikt mi nie podbierze klienta/wiedzy'. Eh. Po prostu sobie przenieś wirtualki do innego katalogu, poza /srv czy /home/services/ czy HGW gdzie indziej - jeśli już patrzymy takimi kategoriami. -- Pozdrawiam, Best regards, Mit freundlichen Grüßen, Wojciech "Wojtosz" Błaszkowski _______________________________________________ pld-devel-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
