forum.opennet.ru - "запретить открывать сокеты" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"запретить открывать сокеты"

Форумы WEB технологии (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"запретить открывать сокеты"
Сообщение от Michael (??) on 22-Авг-04, 22:58 (MSK)
Подскажите, плз, как на сервере (freebsd, apache+mod_php, perl) запретить юзерам обыкновенным открывать сетевые сокеты? и еще, можно ли как-то сказать апачу с mod_php, что PHP'шные скрипты из одной директории (виртуалхоста) не могут читать файлы из другой директории (другого виртуалхоста)? Насколько я понял suexec распространяется только на CGI, а на mod_php нет.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

запретить открывать сокеты, uldus, 11:36 , 23-Авг-04, (1)
- запретить открывать сокеты, Михей, 22:10 , 23-Авг-04, (2)
  - запретить открывать сокеты, uldus, 16:56 , 24-Авг-04, (3)
    - запретить открывать сокеты, Michael, 23:51 , 25-Авг-04, (4)
      - запретить открывать сокеты, uldus, 09:02 , 27-Авг-04, (5)
запретить открывать сокеты, Solotony, 15:50 , 30-Авг-04, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "запретить открывать сокеты"

Сообщение от uldus (ok) on 23-Авг-04, 11:36  (MSK)

> Подскажите, плз, как на сервере (freebsd, apache+mod_php, perl) запретить юзерам обыкновенным открывать сетевые сокеты?
Самое простое через фаервол.
>и еще, можно ли как-то сказать апачу с mod_php, что PHP'шные скрипты
>из одной директории (виртуалхоста) не могут читать файлы из другой директории
safe_mode

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "запретить открывать сокеты"

Сообщение от Михей on 23-Авг-04, 22:10  (MSK)

ok. с доступом к папкам через PHP я разобрался -- пара директив виртуалхосте:
php_admin_value open_basedir "/home/www/virtual/muxa/"
php_admin_value doc_root "/home/www/virtual/muxa/"
теперь пхп больше никуда не лазит.
а насчет файровола -- меня эта мысль тоже посещала. Может есть какой-то альтернативный способ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "запретить открывать сокеты"

Сообщение от uldus (ok) on 24-Авг-04, 16:56  (MSK)

>а насчет файровола -- меня эта мысль тоже посещала. Может есть какой-то
>альтернативный способ?
Есть - подгрузка библиотеки выборочно запрещающей bind, connect и т.д. функции. Поищи в google что-то похожее на "library wrapper bind connect LD_PRELOAD"
Вот что нашлось: http://www.palfrader.org/libsis/
http://www.ryde.net/code/bind.c.txt
http://mega.ist.utl.pt/~luis/socketlock/
- подставляй всем исходящий IP 127.0.0.1

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "запретить открывать сокеты"

Сообщение от Michael (??) on 25-Авг-04, 23:51  (MSK)

>>а насчет файровола -- меня эта мысль тоже посещала. Может есть какой-то
>>альтернативный способ?
>
>Есть - подгрузка библиотеки выборочно запрещающей bind, connect и т.д. функции. Поищи
>в google что-то похожее на "library wrapper bind connect LD_PRELOAD"
благодарю за содействие, но я пока не могу придумать как заставить с помощью LD_PRELOAD клиентские CGI биндиться на 127.0.0.1 или запретить им биндить сокеты вообще. Это будет работать если я буду запускать скрипты сам  предварительно устанавливая переменную LD_PRELOAD в соотвествующее значение.
или может быть есть какой-то способ задать ее глобально для пользователей, от имени которых апач стартует CGI? или для группы www, в которой они все силят?

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "запретить открывать сокеты"

Сообщение от uldus (ok) on 27-Авг-04, 09:02  (MSK)

>благодарю за содействие, но я пока не могу придумать как заставить с
>помощью LD_PRELOAD клиентские CGI биндиться на 127.0.0.1 или запретить им биндить
>сокеты вообще.
Выставляй LD_PRELOAD при запуске apache в apachectl (библиотека должна позволять делать bind и connect для root), ограничения распространятся на php и cgi, проблем коннекта к базе не будет, если она висит на 127.0.0.1, если на другом, то нужно добавть этот IP в список разрешенных.
>имени которых апач стартует CGI? или для группы www, в которой
>они все силят?
Если только для cgi, то можно запатчить suexec.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "запретить открывать сокеты"

Сообщение от Solotony on 30-Авг-04, 15:50  (MSK)

через фаервалл. реализуется примитивно. у меня сделано так - по умолчанию всем закрыто всё. нужным - открываем необходимые порты.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "запретить открывать сокеты"
Сообщение от uldus (ok) on 23-Авг-04, 11:36 (MSK)
> Подскажите, плз, как на сервере (freebsd, apache+mod_php, perl) запретить юзерам обыкновенным открывать сетевые сокеты? Самое простое через фаервол. >и еще, можно ли как-то сказать апачу с mod_php, что PHP'шные скрипты >из одной директории (виртуалхоста) не могут читать файлы из другой директории safe_mode
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "запретить открывать сокеты"
	Сообщение от Михей on 23-Авг-04, 22:10 (MSK)
	ok. с доступом к папкам через PHP я разобрался -- пара директив виртуалхосте: php_admin_value open_basedir "/home/www/virtual/muxa/" php_admin_value doc_root "/home/www/virtual/muxa/" теперь пхп больше никуда не лазит. а насчет файровола -- меня эта мысль тоже посещала. Может есть какой-то альтернативный способ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "запретить открывать сокеты"
	Сообщение от uldus (ok) on 24-Авг-04, 16:56 (MSK)
	>а насчет файровола -- меня эта мысль тоже посещала. Может есть какой-то >альтернативный способ? Есть - подгрузка библиотеки выборочно запрещающей bind, connect и т.д. функции. Поищи в google что-то похожее на "library wrapper bind connect LD_PRELOAD" Вот что нашлось: http://www.palfrader.org/libsis/ http://www.ryde.net/code/bind.c.txt http://mega.ist.utl.pt/~luis/socketlock/ - подставляй всем исходящий IP 127.0.0.1
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "запретить открывать сокеты"
	Сообщение от Michael (??) on 25-Авг-04, 23:51 (MSK)
	>>а насчет файровола -- меня эта мысль тоже посещала. Может есть какой-то >>альтернативный способ? > >Есть - подгрузка библиотеки выборочно запрещающей bind, connect и т.д. функции. Поищи >в google что-то похожее на "library wrapper bind connect LD_PRELOAD" благодарю за содействие, но я пока не могу придумать как заставить с помощью LD_PRELOAD клиентские CGI биндиться на 127.0.0.1 или запретить им биндить сокеты вообще. Это будет работать если я буду запускать скрипты сам предварительно устанавливая переменную LD_PRELOAD в соотвествующее значение. или может быть есть какой-то способ задать ее глобально для пользователей, от имени которых апач стартует CGI? или для группы www, в которой они все силят?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "запретить открывать сокеты"
	Сообщение от uldus (ok) on 27-Авг-04, 09:02 (MSK)
	>благодарю за содействие, но я пока не могу придумать как заставить с >помощью LD_PRELOAD клиентские CGI биндиться на 127.0.0.1 или запретить им биндить >сокеты вообще. Выставляй LD_PRELOAD при запуске apache в apachectl (библиотека должна позволять делать bind и connect для root), ограничения распространятся на php и cgi, проблем коннекта к базе не будет, если она висит на 127.0.0.1, если на другом, то нужно добавть этот IP в список разрешенных. >имени которых апач стартует CGI? или для группы www, в которой >они все силят? Если только для cgi, то можно запатчить suexec.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

6. "запретить открывать сокеты"
Сообщение от Solotony on 30-Авг-04, 15:50 (MSK)
через фаервалл. реализуется примитивно. у меня сделано так - по умолчанию всем закрыто всё. нужным - открываем необходимые порты.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх