Bu bir açık mı? | Lütfen yardım...

Merhaba Değerli R10.Net üyeleri...

En başta konu yanlış yerde olduğu için özür diliyorum, daha doğrusu böyle bi soru nereye açılır bilemediğimden en yakın burayı buldum.

Sorunum şu: Bir web sitede çeşitli isimlerle subdomainler açtım, yaklaşık 60 kişi kullanıyor. 60 adet ayrı subdomain var, herkesin ftp erişim şifreleri ve kullanıcı adları farklı. Bu sayede kimse kimsenin hesabına erişemiyor. Zaten amaç ta bu, herkes kendi dosyasını yükleyecek kimse kimseye karışamayacak.

Ancak bu akşam şöyle bir bakayım kim neler yapmış diye, rasgele dolaşırken bir kişinin subdomaininde bir dosya buldum tmp.php isimli. Ne olduğunu anlamaya çalışırken bir de baktımki dosyaları görüntülüyor, üst klasöre erişebiliyor, istediğiniz dosyayı silip, yeniden düzenleyebiliyor. Ne yapacağımı bilemedim dosyanın bir kopyasını alıp sildim.

Yükleyen kişi kötü amaçlı değil bu yüzden bir işlem yapmamış, daha doğrusu aklına böyle bi fitnelik gelmemiştir eminim. İyiki benden önce kimse açmamış o dosyayı, kötü şeyler olabilirdi.

Sadede gelelim, kurduğum bi projede böyle bir olay olması o projenin bittiğine işarettir, benim sorum: Bu bir açık mıdır? Sub klasörden dosya ile üst klasöre erişmek anormal midir yoksa aynı hosting içerisinde olduğundan normal midir? (ftp hesaplarının rootları kendi klasörü olduğu için ftp ile bağlandığınızda daha üst klasöre geçemiyor zaten bunlar ayarlandı bunların yanında Shell access ve CGI erişimleri hatta Anonim FTP erişimi dahi kapalı)

İmkansızı mı istiyorum bilemiyorum ama böyle birşey var mıdır? Subdomain den üst klasörlere shell ile erişmeyi engelleme var mıdır? (Bulduğum dosyanın maximum erişebildiği yer o host hesabının home klasörü. zaten daha üst klasöre geçebilse yani başka siteye erişse kesinlikle açık var diyecektim ama yazdığım gibi A'dan Z'ye herşey ayarlanmış durumda güvenlik için)

Ticari amaçlı bir proje olduğundan bu çok büyük bir sorun benim için. Yardımcı olabilecek arkadaşlar var mı? Diğer önemli bilgileri de yazayım:

VDS Sistem: Linux / Apache 2.2.16
Kontrol Paneli: WHM/cPanel
Shell Access: Kapalı
CGI Erişim: Kapalı
Anonim FTP Erişimi: Kapalı

merhabalar, aynı hostingte 60 tane sub domain varsa bir sub domaine atılan shell ile diğer sub domain klasörlerine ulaşabilirsin. Bunu engelliyemezsin zaten senin hosting hesabına atılmış oluyor ne var ne yok görür ve değiştirebilir. Bir sub domaine atılmış shell ile diğer sub domainlere ulaşmış olması gayet normal birşey.

Ben de bu cevabı almaktan korkuyordum

Bu sanki bildiğimiz telnet açığı.. Sunucuda bazı güvenlik tedbirleri alınırsa bu engellenebilir.

Shell Access: Kapalı
CGI Erişim: Kapalı
Anonim FTP Erişimi: Kapalı

Bunlar ne yazıkki perl açıklarını kapatmıyor, forum içerisinde birçok konu mevcuttu araştırırsan güzel güvenlik önlemi alabilirsin.

Telnet'ten çok fazla anlamam ama aklıma geldiği için denedim, Tüm host hesaplarının Shell Access izni kapalı, normal bi host müşterimin bilgileriyle Putty'den bağlanmaya çalıştım SSH ye ama yetki hatası verdi yani burda bi sorun veya açık göremedim (bence), TELNET ile ancak ve ancak root kullanıcısı erişebiliyor SSH'ye.

Diğer arkadaşın dediği gibi aynı hosting içerisinde olduğu için her ne kadar subdomainlerin ftp kullanıcı adı ve şifreleri ve ana dizinleri ayrı olsa da aynı host içinde olduğundan bu tip bi webmaster dosyasıyla o hostun home klaösörüne kadar ilerleyebiliyor,

Bunun engellemesi var mıdır yok mudur? Özel CHMOD ayarlaması yaparsak bu seferde normal erişimlerde sıkıntıya sebep olabilir.

telnet engellesenizde herhangi bir shell ile de diğer sub domainlere erişim ne yazık ki sağlanır bunu engellemek için her sub domaine ayrı bir host açmanız ve güvenlik prosedürlerini artırmanız icap edicek.Kısacası open_basedir ayarlarınız iyinin ötesinde olmalı.
R10 da bunu yapabilecek deneyimli kişiler tabi ki vardır.

şu durumda erişememesi mucize olurdu zaten. tüm subdizinler aynı kullanıcı tarafından sahiplenmiş. buna güvenlik açığı demek doğru olmaz. sen tek bir hesaptan birçok subdomain oluşturmuşsun doğal olarak o kullanıcı adı tarafından o dizinler sahiplenmiş.

Yükleme ve indirme amaçlı kullanıyorsanız şunları deneyebilirsiniz:

1. Httpd.conf'tan Allowoverride None (Bu seçim urlrewrite özelliğini de devre dışı bırakır.) Şu ayar da iş görür:

AllowOverride FileInfo AuthConfig Limit
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec

2. Httpd.conf'tan Perl ve Cgi izinleri kapalı
3. tmp dizini securetmp
4. open_basedir home ve tmp için ayarlı
5. Güncel kernel sürümü (yum update kernel)
6. Belirli linux komutları engelli: ls, cat vb. (chmod 444 /usr/sbin/ls gibi kullanılabilir)
* O dosyanın kaynak kodlarına bakarak hangi komutları kullandığını görebilirsiniz. Bu önemli bir madde. Ne kadar çok komutu kapatırsanız diğer işlevlerden feragatla birlikte o kadar güvenli bir sunucunuz olur. Backconnect girişimlerinde bu hayat kurtarıcı olur.
7. Php'nin gereksiz veya riskli fonksiyonları kapalı. Örn: exec
8. safe_mode açık.
9. Tercihen iyi kurallarla destekli mod_security
10. Tercihen Csf
11. ssh portunu değiştirip direk root girişini kapatın.
12. Php'yi suexec derleyin.
13. İlgili klasörleri sahibine adayın. Bunun en kolay yolu hesabı subdomain olarak açmak.


Bu forumda bunları bir arada bulamazsınız. Çünkü kimilerine göre bunlar birer "sır" "meslek sırrı"dır. O nedenle yukarıdakileri r10'dan değil Google'dan araştırıp uygulamanız isabetli olur. Bu da forumun bilgi paylaşımı değil; vasıflı/vasıfsız bilgi ticareti kimliğine bir göndermem olsun. Bu adımların tümünü izleseniz bile tam güvende olacağınızın garantisini vermek olanaklı değil. Ancak yaptığınızı bilinçli yapın. Örneğin open_basedir nedir ne değildir önce öğrenip sonra ayarını yaparsınız. Hem öğrenirsiniz hem de ileride benzer girişimlerde neyi nereden yapmanız gerektiğini bilirsiniz.