Aquí, le presentamos una de las características más importantes de CloudLinux - CageFS.
CageFS es un sistema de archivos virtualizado y un conjunto de herramientas para bloquear cada usuario en su propia jaula. Cada cliente tendrá su propio sistema de archivos totalmente funcional, con todos los archivos del sistema, herramientas, etc.
Muchas personas tratan de asegurar el alojamiento utilizando el archivo php.ini ( esto da algunos resultados ) sin embargo, las restricciones PHP.ini son a menudo fáciles de evitar. Además, no funcionarán en absoluto para las secuencias de comandos CGI. Es por eso que decidimos desarrollar una herramienta más efectiva para aumentar la seguridad en el servidor y crear CageFS.
Ademas, hacer los siguientes cambios :
CageFS tiene muchos beneficios, tales como:
Hoy en día es trivial que los atacantes utilicen aplicaciones web hackeadas para implementar PHP Shell. Comprobando cualquier script simple de PHP Shell para un usuario sin cagefs puede notar que puede ver todos los usuarios de / etc / passwd, puede leer el archivo de configuración apache completo para que, pueda determinar los dominios alojados en el mismo servidor así como las ubicaciones de la ruta de inicio . Sin embargo, tan pronto como el usuario se instala cagefs , verá sólo los usuarios del sistema y sí mismo en / etc / passwd. Además, no puede leer apache configs etc.
Algún software debe ser ejecutado fuera de CageFS para poder completar su trabajo. Esto incluye programas como passwd, sendmail, etc. CloudLinux utiliza la tecnología proxyexec para lograr este objetivo. Puede definir cualquier programa que se ejecute fuera de CageFS, especificándolo en el archivo /etc/cagefs/custom.proxy.commands.
Configuracion adicional
Activar CageSF para un usuario especifico
Des-Activar CageSF para un usuario especifico
Activar CageSF para todos los usuario
Des-Activar CageSF para todos los usuario
CageFS es un sistema de archivos virtualizado y un conjunto de herramientas para bloquear cada usuario en su propia jaula. Cada cliente tendrá su propio sistema de archivos totalmente funcional, con todos los archivos del sistema, herramientas, etc.
Muchas personas tratan de asegurar el alojamiento utilizando el archivo php.ini ( esto da algunos resultados ) sin embargo, las restricciones PHP.ini son a menudo fáciles de evitar. Además, no funcionarán en absoluto para las secuencias de comandos CGI. Es por eso que decidimos desarrollar una herramienta más efectiva para aumentar la seguridad en el servidor y crear CageFS.
Code:
yum install cagefs cagefsctl --init cagefsctl --enable-all mkdir /home/cagefs-skeleton ln -s /home/cagefs-skeleton /usr/share/cagefs-skeleton
Ademas, hacer los siguientes cambios :
Code:
cPanel WHM WHM -> Server Configuration -> Basic cPanel/WHM Setup -> Basic Config -> Additional home directories Cambiar el valor a blank (en vez de “home”)
- Sólo los binarios seguros están disponibles para el usuario
- El usuario no verá ningún otro usuario y no tendrá forma de detectar la presencia de otros usuarios y sus nombres de usuario en el servidor
- El usuario no podrá ver los archivos de configuración del servidor, como los archivos de configuración de Apache
- El usuario tendrá una vista limitada del sistema de archivos / proc y no podrá ver otros procesos de los usuarios
- Al mismo tiempo, el entorno del usuario será totalmente funcional y el usuario no se sentirá restringido en cualquier forma posible, no se necesitan ajustes a los scripts de usuario.
Hoy en día es trivial que los atacantes utilicen aplicaciones web hackeadas para implementar PHP Shell. Comprobando cualquier script simple de PHP Shell para un usuario sin cagefs puede notar que puede ver todos los usuarios de / etc / passwd, puede leer el archivo de configuración apache completo para que, pueda determinar los dominios alojados en el mismo servidor así como las ubicaciones de la ruta de inicio . Sin embargo, tan pronto como el usuario se instala cagefs , verá sólo los usuarios del sistema y sí mismo en / etc / passwd. Además, no puede leer apache configs etc.
Algún software debe ser ejecutado fuera de CageFS para poder completar su trabajo. Esto incluye programas como passwd, sendmail, etc. CloudLinux utiliza la tecnología proxyexec para lograr este objetivo. Puede definir cualquier programa que se ejecute fuera de CageFS, especificándolo en el archivo /etc/cagefs/custom.proxy.commands.
Configuracion adicional
Activar CageSF para un usuario especifico
Code:
/usr/sbin/cagefsctl --enable <username>
Code:
/usr/sbin/cagefs --disable <username>
Code:
/usr/sbin/cagefsctl --enable-all
Code:
/usr/sbin/cagefsctl --disable-all