AbcLinuxu:/ Poradna / Linuxová poradna / webhosting

Štítky: Apache, Internet, PHP, programování, sítě, vtip, webhosting

Dotaz: webhosting

2.3.2008 23:00 Greeg | skóre: 2
webhosting

Přečteno: 2077×

Zdar, mám takovej dotázek, chci začít provozovat webhosting a rád bych se dozvěděl nějaké informace o tom, co a jak na serveru zabezpečit a nastavit, tak aby mi tam uživatelé nemohli udělat nějakou neplechu.

Jestli s tím máte někdo zkušenosti, budu rád za každou radu nebo tip.

díky.

Martin serverline.cz

Nástroje: Začni sledovat (5) ?

Odpovědi

Diskuse byla administrátory uzamčena.
FAQ: Proč byl uzamčen/smazán můj dotaz v Poradně?

2.3.2008 23:32 ajikdpoe | skóre: 23 | blog: dvh
Rozbalit Rozbalit vše Re: webhosting

Najcastejsie bezpecnostne problemy sposobuju programy apache a php takze ich staci odinstalovat a je to.

3.3.2008 01:52 franta
Rozbalit Rozbalit vše Re: webhosting

aiee... dalsi co ma taky web hosting. Neni uz v tehle republice prewebhostingovano ?

3.3.2008 02:06 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: webhosting

nechci byt na tebe osklivy, ale nemuzu si pomoct. Rekl bych, ze potrebujes zkuseneho administratora. Casem se objevi problmy, ktere bude treba rychle resit a ne cist dokumentaci a googlit s otazkou jak ten software na tom serveru vlastne funguje.

ps: ten link na tvuj hosting byla takticka chyba. ted, kdyz nekoho bude serverline zajimat a zada tu domenu do googlu, tak se ze sedmeho odkazu dozvi, ze tam neni nikdo kdo tomu rozumi. pro crackery to muze byt take cenna informace.

Talking about music is like dancing to architecture.

3.3.2008 08:03 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: webhosting

Doporučil bych opačnou cestu – nejprve se naučit systém administrovat a zabezpečit, teprve pak začít poskytovat webhosting. Naučit se to můžete tak, že budete provozovat web pro sebe, případně pro známé, kterým se budete starat o nahrávání případně programování stránek, takže nebude nikdo, kdo by vám tam mohl dělat neplechu. Až budete o administraci něco vedět, můžete povolit uživatelům postupně přístup přes scp, ssh a pak jim i dovolit používat skripty (např. PHP) na serveru.

3.3.2008 13:14 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

Špatně jste pochopili otázku,

ptal jsem se co všechno mám zabezpečit, kdo s tím má nějaké zkušenosti, samozřejmě že zabezpečený to je dost, jen jestli jsem na něco nezapoměl, nebo někdo neví o něčem co by se mělo udělat, v žádném případě jsem nechtěl znát odpověď na to "Jak zabezpečit webhosting", protože na to mám "zkušeného" administrátora, spíš jsem potřeboval něco jako "Tipy a Triky...."

3.3.2008 13:31 Jan Drábek | skóre: 41 | blog: Tartar | Brno
Rozbalit Rozbalit vše Re: webhosting

Určitě jste na něco zapomněl, jenže my nevíme na co ;)

01010010 01000101 01010000 01101100 01001001 00110010 01000100 01100101 01010110

3.3.2008 14:11 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: webhosting

Pokud chcete vědět, jestli jste něco nezapomněl, napište, co jste už udělal – ať nemusí každý odpovídající dělat svůj seznam, na co by se nemělo zapomenout, kde se bude 90 % věcí překrývat.

3.3.2008 21:56 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

Mno abych pravdu řek, právě ten seznam by se mi hodil,

zveřejňovat jak je server zabezpečenej nebudu, páč by to mohlo některé lidi nábádat k tomu aby to vyzkoušeli :)

Ale jinak Dík

4.3.2008 08:27 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: webhosting

Mno abych pravdu řek, právě ten seznam by se mi hodil

Takový seznam, pokud není určen pro nějakou konkrétní instalaci, bude nutně jen velmi obecný:

zajistit, aby k síťovým službám měli přístup jen oprávnění uživateleé (firewall)
zajistit, aby oprávnění uživatelé měli minimální práva, která potřebují ke své práci (např. pokud potřebují jen scp, nepotřebují plný přístup k shellu apod.)
zajistit zabzpečení oprávněných uživatelů (bezpečnost hesel, limity na využití procesoru, paměti, diskové kvóty)
zajistit bezpečné prostředí pro každý kód, který mohou uživatelé spouštět (přístup k shellu, serverové skripty – např. PHP, přístup k databázi, cron…) – chroot, oprávnění k souborům, PHP safe-mode, virtuální stroje apod.
pravidelná aplikace bezpečnostních záplat

4.3.2008 09:25 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

Schrnutí toho seznamu:

Uživatelé webhostingu mají přístup pouze k:

FTP -port 21 www -port 80 phpmyadmin

Ostatní porty jsou zavřené (kromě 22 a ten je povolen poze pro mojí IP)

Php běží v safemode, pokud by se to podařilo nějak obejít tak jsou i ručně zakázány funkce shell, exec, atd...

v systému nejsou uživatelé, ftp si je bere pouze z DB kde jsou zakodovaní.

každej userm má vytvořenýho vlastního virtuálhosta v apache s vlastním rootem webu. ve ftp má každej user nastavenej root na root svého webu (do něj je také chrotlej).

CGI-Scripty - zakázané, pouze na přání.

Shrnutí: nikdo by se neměl dostat nikam

To by mělo víceméně stačit.

Napadá někoho ještě něco ?

4.3.2008 09:44 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: webhosting

Při FTP přenosu se po síti posílají nešifrovaná hesla, to zrovna moc bezpečné není. Nevím, jak moc je bezpečný PHP safemode, každopádně by to chtělo prověřit, že uživatel nebude moci přes PHP číst cizí soubory, + to samé že to nepůjde přes Apache (nějaké přesměrování, include apod.) U CGI skriptů si pak dejte pozor, aby když je budete na přání povolovat, abyste si ohlídal v každém konkrétním případě bezpečnost. Poslední věc, co mne napadá, se netýká bezpečnosti přímo jako např. možnost získat cizí data, ale jde o DoS – aby jeden uživatel nemohl ostatním sebrat veškerý výpočetní ýkon, veškerou dostupnou paměť nebo veškerý dostupý prosotr na disku. Vzhledem k tomu, že nejde přímo o systémové uživatele, ale vše asi poběží pod jedním uživatelem, bude tohle zajistit asi dost těžké… (Samozřejmě to nemusíte řešit nijak systémově, ale prostě jen v případě problémů nějaký konkrétní skript odstřelit a zakázat – záleží na tom, jakou dostupnost chcete garantovat.)

4.3.2008 09:57 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

bohužel, FTP používat musím, nevím zda by si někdo objednal hosting a používal ssh.

Pane Jirsák mohu Vás poprosit o nějaké ICQ? na Vás, vypadá to, že tomu opravdu rozumíte, a potřeboval bych s něčím poradit mimo fórum.

moje ICQ: 164-598-750

Děkuji moc za pomoc

6.3.2008 09:38 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše admin

Prosím tazatele, aby diskuzi v Poradně nezneužívali tak, jak jste to předvedl vy. Mluvím především o tom, že když jste objevil někoho, kdo by vám mohl pomoci, tak jste ho požádal o soukromý kontakt. Princip Poradny je založen na tom, že se tam věci řeší a také vyřeší, aby z takto vyřešených problémů mohli těžit i jiní uživatelé. Když vám diskuze poslouží pouze pro navázání kontaktu a samotné řešení už se do ní nedostane, tak je to velmi sobecký přístup.

4.3.2008 14:55 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: webhosting

php safe mode automaticky zakazuje pristup k souborum mimo open_basedir, takze do kazdeho virtualhosta dat direktivu open_basedir a patricne u ni nastavit cestu (cesta do virtualhostu + include pro pear a pod). v php se daji take nastavit limity na pouziti pameti skriptem a dobu behu jednoho skriptu (presto ale, muze utocnik udelat dos spustenim jednoho skriptu n-krat, nicmene je to lepsi nez nic). pomoci muze take mod_chroot (v debianu je balicek libapache2-mod-chroot). Nemam ale, s mod_chroot velke skusenosti, takze nemuzu rict, jak je to dobre v praxi.

Talking about music is like dancing to architecture.

4.3.2008 15:51 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: webhosting

Open_basedir funguje aj bez safe mode. Safe mode nie je riešením bezpečnosti, prináša viac problémov než úžitku a autori PHP ho plánujú v ďalšej verzii úplne z PHP odstrániť.

4.3.2008 14:18 Messa | skóre: 39 | blog: Messa
Rozbalit Rozbalit vše Re: webhosting

PHP už moc nesleduji, ale mám pocit, že safe mode je překonán - uživatele jde od sebe oddělit jinou metodou (nějaké open base dir nebo jak se to jmenovalo), safe mode jen přináší problémy při zpracovávání uploadovaných souborů a dalších celkem obvyklých činnostech.

4.3.2008 10:03 j3nda | skóre: 14 | ostrava/brno
Rozbalit Rozbalit vše Re: webhosting

zdravim, ja hodsting provozoval cca v r. 2000 (silne jej dotoval a naivne si ve svych 22ti letech) myslel, ze nabalim spoustu zakazniku a budu vydelavat.

chyba. v obdobi dotaci jsem se linux ucil (rh73). a nyni po nekolika letech(gentoo) mohu rict, ze mam hosting zmaknuty a rozhodne se do nej nechci poustet znovu. hosting je domena odborniku na system, ktere je potreba zaplatit.

[zde doporucim: vypracuj si nejaky obchodni model, abys videl po jake dobe se ti to zacne vyplacet]

pokud te zde prispevky neodradi, tak uskali hostingu jsou v obecne rovine: - security (apache, php, openssh, kernel, ...) - prechod na nove verze (php4 -> php5; prip. apache 2.0 -> apache 2.2; apod...) - reseni DoS, DDoS utoku (kdyz nastanou), prevence, filtrovani, rozdeleni zateze - zivotnost hw

alespon s temito veci se denne setkavam a zvazuji proc hosting nedelat a nechat pracovat odborniky :-)

jinak preji hodne uspechu a spokojenych zakazniku. btw: banan.cz ber jako odstrasujici pripad.

___---==~[ uxunilcba | baclniuxu ]~==---__sevrer_pnly_liunx-lkie_hcaricku__/libGDX-rulez-the-W0R7D!___

4.3.2008 10:22 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

právě s bananem se nechci srovnávat, ten webhosting se mi nenarodil v hlavě před týdnem, všechno se už téměř 12 měsíců plánuje, Máme připravenejch 19 serverů, okamžitě k dispozici, teď víceméně odlaďujem chyby a zabezpečení...

jinak, testování spuštěno před 3 týdny a od té doby je 5 nových zákazníků, všichni v nejdražší variantě.

4.3.2008 10:27 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

PS: k té návratnosti investice:

Našim i znaleckym odhadem byla odsouhlasena návratnost do 1,5roku, což znaméná že do té doby to budeme dotovat ze svého...

4.3.2008 16:10 miso | skóre: 36 | blog: iSCSI_initiator_howto | Praha
Rozbalit Rozbalit vše Re: webhosting

Nechces kupit odo mna tu knizku? ;-)

Project Satan infects Calculon with Werecar virus

4.3.2008 23:58 Kyosuke | skóre: 28 | blog: nalady_v_modre
Rozbalit Rozbalit vše Re: webhosting

Přidej mu rovnou krabici SLESu a objednávku školení na certifikaci, ne? :-D

Jak moc jsou ábíčkáři inteligentní? ;-)

4.3.2008 22:10 Topy
Rozbalit Rozbalit vše Re: webhosting

Spise nez 19 serveru byste mel mit alespon jednoho admina.

Nepripadate si jak podvodnik, kdyz misto status ikony ICQ zobrazujete natvrdo zelenou ikonu? To je klasicka bananovstina.

Kde mate napsano, kdo je provozovatelem? Zadne ICO, zadne kontaktni udaje, domena nepatri zadne firme.

5.3.2008 06:41 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

natvrdo zelená?, skus si smazat keš prohlížeče :)

6.3.2008 00:05 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: webhosting

ICQ? Hlásím kámošovi u AOL, že porušuješ licenci, čekej zrušení účtu do 14 dnů.

Věřím v jednoho Boha.

6.3.2008 00:20 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

ok čekám...

4.3.2008 23:29 Jirka | skóre: 36
Rozbalit Rozbalit vše Re: webhosting

Vy opravdu nabízíte kapacitu v Megabitech? Kolik z těch 5 zákazníků si myslí, že mají 50 000 MiB? :-D

4.3.2008 23:50 Jakub Suchy | skóre: 22 | Praha
Rozbalit Rozbalit vše Re: webhosting

Vy mate 19 serveru? A neumite administrovat hosting? Docela by me zajimalo, jak to teda delate. MX mate u zoneru, NS taky...Kde mate tech 19 serveru? :)

Drupal

5.3.2008 06:40 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

nejsou v provozu všechny, smtp, je u zoneru, protože zatím neí v provozu mailserver, hosting se připravuje, pro šťouraly, schválně si skuste něco objednat, nejdeto co?

admina mám je nás celkem 8 lidí. ptal jsem se všeobecně, nechtěl jsem žádnej návod...

5.3.2008 20:08 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: webhosting

ty chces uzivit 8 ludi zo zacinajuceho webhostingu ? ;)

5.3.2008 20:48 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

dobrovolníci, blízký okruh přátel, kteří počítají s tím, že ze začátku nebude žádný výdělek, ovšem baví je to a to je podle mě hodně důležité...

4.3.2008 21:05 zdenek2008 | skóre: 26
Rozbalit Rozbalit vše Re: webhosting

Zajisti si aby server nesel pouzit jako open relay, cili aby ti pres nej nekdo zvenci nerozesilal hromadny spam tvarici se jako ze ho posila tvuj server/y, tva domena/y by se rychle mohly octnout na nejakych tech blacklistech a to by znamenalo odmitani veskere posty z tveho serveru.

Taky je osidna vec kdyz ti nejakej ten posledni klikalek u poskytovatele v ramci sobotniho vecerniho ukajeni rootovskych choutek (hrabani se v konfiguracich apod.) bezmyslenkovite zmeni IP adresu serveru. To si jiste umis predstavit ty zakaznicke telefonaty v pondeli rano, proc jim nejdou stranky. Radeji se taky ujisti ze smlouva s pripojovatelem ti zajistuje stalou ip adresu.

No a pak jeste pozor aby se ti vsechno nesesypalo az u baraku slehne blesk a taky pro jistotu zabetonuj rozvodnou skrin elektriky a jistice, az se nekomu urodi v kebuli napad hledat problem v elekroinstalaci vylucovaci metodou postupneho vypinani a zapinani jisticu.

Tohle vsechno (a mnohem vic) se uz stalo a lidi jsou vsude stejni... tak at se vam dari.

4.3.2008 21:22 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

imho, nemám servery doma v garáži, jsou v Praze v TTC Telehaus...

4.3.2008 21:56 zdenek2008 | skóre: 26
Rozbalit Rozbalit vše Re: webhosting

To je jina. Tam se to samozrejme stat nemuze.

5.3.2008 17:33 Messa | skóre: 39 | blog: Messa
Rozbalit Rozbalit vše Re: webhosting

Na stránkách vidím, že budete nabízet i serverhosting. Nějak se mi nezdá, že sami máte 2 servery (nebo kolik), plánujete jich 19, ale už máte na stránkách odkaz na nabídku serverhostingu. Bude to Opravdový Serverhosting - tj, např. přístup zdarma v sobotu o půlnoci, nebo to bude něco ve stylu "my sami jsme vlastně zákazníci jiného serverhostingu a oni nejsou rádi, když tam camrá moc lidí"? :-)

Byli byste třeba schopni nějakého administrativního zásahu - vyměnit vadný kus hardwaru v zákazníkově stroji? Jakou máte konektivitu do zahraničí?

5.3.2008 17:49 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

Samozřejmě, my nejsme zákazníci jiného serverhostingu, pouze zákazníci Datového centra TTC Teleport (Master Internet), ona vlastní serverovna by vyšla na pár milionů..., přístup je zejištěn 24/7/365 pro libovolný počet autorizovaných osob.

5.3.2008 17:51 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

PS: jsme schopni vyměnit vadný hardware do 1 hodiny od nahlášení poruchy. konektivita je 1Gbps NIX 100Mbps zahraničí, oba mají neomezeně data.

5.3.2008 20:51 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

Ještě dodatek: Ta konektivita je pro každý server samostatná.

5.3.2008 21:37 Messa | skóre: 39 | blog: Messa
Rozbalit Rozbalit vše Re: webhosting

Tak teď jste si dal. Vy máte 19 přípojek do NIXu? :-)

5.3.2008 22:12 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

ne každej server je připojenej 1Gb NIX 100Mb zahraničí, jakou konektivitu má telehouse to nevim...

5.3.2008 22:53 artec | skóre: 24
Rozbalit Rozbalit vše Re: webhosting

Zatim jsem to cele jenom sledoval, ale uz se taky pridam. Napsal jste, ze server mate pripojen 1Gbps do NIXu a 100Mbps do zahranici a ze pripojeni ma neomezene data. Zahranicni konektivita je draha a kdyz chcete od Mastera neomezena data do zahranici, tak misto 100Mbps mate pouze 1Mbps. Takze predpokladam, ze ted asi napisete, ze mate nejaky VIP tarif...

5.3.2008 23:01 Messa | skóre: 39 | blog: Messa
Rozbalit Rozbalit vše Re: webhosting

No, každopádně, když je vemu za slovo a donesu jim tam aplikaci, která bude těch 100 mbps mezinárodně opravdu používat, tak vynesou v zubech buď oni mě nebo, což je bohužel pravděpodobnější, jejich provider je. Na druhou stranu - která PHP aplikace to dá :-)

5.3.2008 23:17 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

Mno nebudu řikat že mám VIP tarif, servery pro službu serverhosting, jsou v jiném datacentru. u Mástru jsou servery s hostingem, protože bydlim kousek od TTC .

Tímto bych tu diskusi tady skončil, protože původní otázka zněla jinak.

5.3.2008 23:46 artec | skóre: 24
Rozbalit Rozbalit vše Re: webhosting

Ano, tak to uz by bylo trochu jine. Kazdopadne treba sdilena linka 30Mbps u CoolHousingu s agregaci 1:24 s neomezenymi daty do zahranici neni to same jako neomezena linka do zahraici 100Mbps.

Jinak vam tedy zavidim, jakym stylem jste se do toho vrhnul. Pokud vam muzu dat radu, tak zabezpecit PHP pomoci safe_mode, open_basedir a memory_limit a apache pomoci AllowOvveride absolutne nestaci. Prvni zbehly uzivatel v oboru, ktery bude nespokojeny s vasimi sluzbami, si potom se serverem muze delat co chce, jako kdyby jste mu dali rovnou SSH pristup pod uzivatelem co bezi apache....

5.3.2008 07:32 fixinko | skóre: 15 | Bratislava
Rozbalit Rozbalit vše Re: webhosting

a este by sa hodilo mat v poriadku reverzne DNS zaznamy ;-)

5.3.2008 07:13 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

Je vidět, že někteří lidi umějí jen rejpat:

Pro upřesnění:

ZATÍM NEJSME ŽÁDNÁ SPOLEČNOST, REGISTRACE JE NEDOSTUPNÁ, SLUŽBY SE TESTUJÍ, ANO, E-MAIL JE ZATÍM VYUŽÍVÁN u ZONERU, PROTOŽE MAILSERVER TEPRVE PŘIPRAVUJEME A BUDE SE TESTOVAT. MÁME PŘIPRAVENÝCH 19 Serverů, V PROVOZU JSOU 2.

NECHCI NÁVOD JAK UDĚLAT VEBHOSTING, PTAL JSEM SE VŠEOBECNĚ.

POKUD JE NĚKDO TAK "BL**J" A ODPOVÍDÁ NA NĚCO NA CO JSEM SE NEPTAL a EŠTĚ REJPE, POVAŽUJU HO ZA UBOŽÁKA.

Martin Kadoch

5.3.2008 13:54 Kyosuke | skóre: 28 | blog: nalady_v_modre
Rozbalit Rozbalit vše Re: webhosting

Proč je všechno velké a servery jsou malé? :-D

Jak moc jsou ábíčkáři inteligentní? ;-)

5.3.2008 14:15 Mortal | skóre: 26 | blog: mortals_log
Rozbalit Rozbalit vše Re: webhosting

tam mu dosel dech a musel se znova nadechnout :)

V pekle jsou samé diskety a ďábel je velká disketová mechanika

5.3.2008 17:52 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

nějak se mi nepohodla levá ruka na shiftu s pravou, která psala text... :)

5.3.2008 23:18 Greeg | skóre: 2
Rozbalit Rozbalit vše Re: webhosting

Na další otázky už neodpovídám, protože nesouvisí s původní otázkou.

5.3.2008 23:46 al-Quaknaa | skóre: 13 | blog: al_quaknaa
Rozbalit Rozbalit vše Re: webhosting

Tak já taky něco málo přihodím ... safe_mode prosím vážně nepoužívejte, jak bylo řečeno výše, je to zastaralé prasárnička, má se používat openbase_dir (nikdy nevím, kde to podtržítko je ...) třeba ještě v kombinaci se suExecem nebo třeba mod_ruid, safe_mdoe ne ...

Ještě bych řekl že dobrou úroveň zabezpečení představuje hardened profile Gentoo - bezpečnostní patche na kernel - PaX, grsecurity, volitelný SELinux + pie/sse patche pro gcc a tím zkompilovaný celý systém. Já k tomu jetě pouzžívám virtualizaci - tedy mám (budu mít, dělám an tom :d) jen velice minimální systém s co nejrestriktivnějším nastavením, na něm Xen a v Xen guestu vlastní služby, taktéž na hardened systému. Ale řekl bych, že už je to lehce nadstandard. Pokud k tomu má někdo způsobilý co říct, tak se prosím vyjádřete, mě osobně by to jako ne-odborníka taky zajímalo, jestli je to dobrý přístup. :)

al-Quaknaa

6.3.2008 08:50 Bernie | skóre: 9 | blog: Bernie's Blog
Rozbalit Rozbalit vše Re: webhosting

Pri vypnutem safe_mode je vhodne open_basedir (tak se ta direktiva tusim jmenuje ;-)

) doplnit patchem exec_dir, ktery zajisti, at uz vice ci mene uspesne, obdobu funkcionality sefe_mode_exec_dir.

Nemate prosim nekdo zkusenosti s nasazenim patche php SUHOSIN v produkcnim prostredi? Trochu po nem posilhavam, ale k testovani jsem se jeste nedostal :-(

6.3.2008 09:24 Dali | skóre: 2 | blog: dali
Rozbalit Rozbalit vše Re: webhosting

Na Ebola.cz Suhosin používáme už poměrně dlouho a bez jakýchkoliv problémů. Samozřejmě v tuto chvíli nejsem schopem říct, jestli skutečně někdy pomohl proti nějakému útočníkovi. V logu zatím nebylo nikdy velké množství zpráv, které by vypovídaly o útoku. Každopádně dá to trochu práce nastavit parametry tak, aby neomezoval běžné stránky, zejména phpmyadmin byl poněkud oříšek :-)

6.3.2008 09:33 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: webhosting

ja som mal s nim problem (zrejme sposobeny kombinaciou s eAcceleratorm): pravidelne sa stavalo, ze apache spustil maximalny pocet procesov uplne bezdovodne a vsetky boli obsadene (status o nich nieco hovori, bohuzial uz nepametam co to bolo). nakoniec som to vyriesil deaktivaciou suhosinu.

6.3.2008 09:37 Dali | skóre: 2 | blog: dali
Rozbalit Rozbalit vše Re: webhosting

Tento problém se neprojevuje, také používáme současně eaccelerator namísto Zend Optimizeru, při testování vykazoval mnohem lepší výsledky v rychlosti stránek. Na jaké to bylo distribuci ?

5.3.2008 23:50 tomfi | skóre: 19
Rozbalit Rozbalit vše Re: webhosting

Rejpalů si moc nevšímejte.... časem sami přijdete na to jestli měli nebo neměli pravdu. Ono se dá mnoho věcí zvládnout když se chce... například já viděl automontéra instalovat v paneláku internet :) Takže pokud máte 8 lidí, kteří jsou nadšenci jistě něco vymyslíte... ale pozor na tu návratnost, pokud je 1,5 roku tak počítejte, že kluci na tom denně dělat za pár korun měsíčně pouze z nadšení nebudou dlouho. Určitě si ve smlouvách dejte pozor (stejně jako to dělá mnoho "moudrých prowiderů") aby jste za nic neručili, alespoň prvních pár let, protože jinak by se vám taky mohlo stát, že zisk pár let budete připisovat na konto někomu jinému, a jak se říká v jedné televizní reklamě "a to v tom lepším případě" :).

Co se týče konkrétní rady jak zabezpečit mašiny, tak vás odkážu na NSA. Vydali mnoho kvalitních dokumentů a checklistů jak co zabezpečovat. Stačí se porozhlédnout po jejich stránkách... dále hledejte na googlu spojení apache webserver security... jinak další věc co by vám ve vaší síti serverů měla říkat pane by mělo být nějaký to IPS kombinovaný s HIDS, internet je dnes nebezpečná divočina ;)

PS: ty 3 hostující domény bych tam raději ani neuváděl... jeden warez, jeden nedodělanej web od nadšence počítačové hry a jeden také nic moc web o pivu... celkem moc dobrá reference to pro hosting neni :) (já chápu, že se rozjíždíte, ale chápu to proto, že zatím neplánuji být vašim zákazníkem ;) )

Vždyť jsou to jen jedničky a nuly ...

6.3.2008 00:03 ivan | skóre: 17 | blog: ivan
Rozbalit Rozbalit vše OT Re: webhosting

Preju vam stesti ve vasem podnikani, ale moc sanci vam nedavam. Myslim si, ze se na webhostingu se neda rozumne vydelat. Vetsina ISP webhosting dotuje a nabizi ho jen jako doplnkovou sluzbu ke svym hlavnim produktum. Pokud opravdu chcete provozovat webhosting, nejdrive se ujistete, ze mate co nabidnout. Zabezpeceni pristupu, rozdeleni zateze, IDS, databaze, php moduly, logy monitoring, maily to je spousta prace. Urcite vic nez by se mohlo na prvni pohled zdat.

6.3.2008 00:09 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: webhosting

Jseš prase. Narychlo spatlaným skriptem (který používá telnet) jsem se pomocí slovníkového útoku dostal na účet root tvého proftpd serveru na portu 21. Pokuď si nezměníš heslo, zítra už tam nic nebuš mít...

Věřím v jednoho Boha.

6.3.2008 00:10 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: webhosting

nebuš = nebudeš

Věřím v jednoho Boha.

6.3.2008 00:33 Messa | skóre: 39 | blog: Messa
Rozbalit Rozbalit vše Re: webhosting

Ty jo, přihlásit se jako root na FTP, to se mi nikdy nepovedlo ani se správným heslem. ("Normally, proftpd disallows root logins under any circumstance.") Posílat rootovo heslo nezaheslované internetem... odvaha ještě větší než ta podnikatelská. Sorry, ale ty servery bych nechal ležet a za žádných okolností bych je nezapínal, dokud nebude skutečný linuxový administrátor (nebo se okamžitě objevíte na blacklistech za posílání tun spamu, v lepším případě).

6.3.2008 00:55 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: webhosting

ou, to snad musi byt explicitne povolene

Talking about music is like dancing to architecture.

6.3.2008 07:36 fixinko | skóre: 15 | Bratislava
Rozbalit Rozbalit vše Re: webhosting

ano, musi to byt explicitne povolene v /etc/ftpusers, resp. presnejsie povedane, zmazany odtial root :)

6.3.2008 09:41 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše admin

Tato diskuze bude uzamčena a později vymazána, protože se jedná o dotaz, který do Poradny nepatří. Tazatel totiž neřeší konkrétní technický problém, nýbrž chce předem k něčemu návod. Navíc by se uvedení odkazu přímo do textu dotazu dalo považovat za poměrně naivní způsob propagace služeb.

Tiskni Sdílej: