Uprawnienia na /srv
Tomasz Pala
gotar w polanet.pl
Pią, 14 Lis 2008, 14:17:43 CET
On Thu, Nov 13, 2008 at 22:15:36 +0100, Wojciech Błaszkowski wrote:
>> Naruszeniem zasad bezpieczeństwa będzie to, że ktoś w ogóle zobaczy
>> jakie wirtualki hostuję.
> pff.. ja swoje hostuję w /home/virtualki/$NAZWA_DOMENY/ - wgląd ma apacz, dany
> user poprzez ftp, całość "zakrywa" AppArmor. DZIAŁA, zapewniam.
Fajnie, a mi działa na ACL-ach (apache ma dostęp, inni userzy nie).
> Pamiętaj, że jak ktoś będzie chciał wiedzieć czy hostujesz daną stronę, jakie
> strony hostujesz albo ile ich masz - sprawdzi to tak, czy inaczej.
> Np. dzwoniąc do BOK ;)
Nic takiego się nie dowie (choćby dlatego, że BOK takich informacji nie
musi mieć). O mojej wewnętrznej wirtualce wiedzą 3 osoby, które z niej
korzystają, nie jest w żaden sposób dostępna w usługach katalogowych
typu DNS, jedyne źródło wycieku widzę właśnie w plikach na serwerze.
>> Osobiście mam jedną wirtualkę, która nie ma nawet wpisów w DNS-ach i
>> trzeba sobie samemu do hosts dopisać jej nazwę i adres IP. Nie będzie mi
>> się podobało, jak ktoś zobaczy jej nazwę, a nadawanie losowych nazw
>> podkatalogom /srv też niezbyt mi odpowiada.
>
> To (IMHO) nie rozwiązanie.
> Hint: przenieś wirtualki poza /srv, poczytaj o AppArmor :)
A co to niby ma dać? Hint: /srv jest właśnie na takie rzeczy
przeznaczone, wirtualka MA być dostępna, ale tylko dla tych, którzy o
niej wiedzą.
> Eh. Po prostu sobie przenieś wirtualki do innego katalogu, poza /srv
> czy /home/services/ czy HGW gdzie indziej - jeśli już patrzymy takimi
> kategoriami.
Tak, a userom będę zakładał w /etc/homes, liby wrzucę do /sbin i zamiast
/tmp fajnie będzie wyglądało /opt.
--
Tomasz Pala <gotar w pld-linux.org>
Więcej informacji o liście dyskusyjnej pld-devel-pl