banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix Enable Safe Mode & Disable Functions on Webserver  XML
  [Article]   Enable Safe Mode & Disable Functions on Webserver 27/10/2009 07:06:33 (+0700) | #1 | 196765
[Avatar]
Ikut3
Elite Member

[Minus]    0    [Plus]
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
[Profile] [PM] [Yahoo!]
Cách Disable các Functions & Enable Safe mode trên Application(Php) bằng file php.ini để giảm thiểu việc tấn công local có lẽ không xa lạ gì với mọi người. Tuy nhiên nếu đứng ở phạm trù người quản trị Server thì cần có sự áp đặt toàn bộ việc config này đối với các host trên đó. Bởi việc security này thực chất không áp dụng được cho toàn bộ các Host trên cùng 1 Server. Nó chỉ có thể áp dụng đối với những host biết sử dụng nó. Vậy vấn đề ở đây đặt ra là làm thế nào để mình áp dụng điều này trên Server để nó có thể tương tác đến các site đang host trên nó. Mình xin được trình bày ở đây

-----

Ở đây mình SSH vào WebServer của mình chạy (Apache - MySQL - PHP) bằng quyền ROOT

Việc cấu hình lại các file này được thực hiện ở file php.ini

Sử dụng câu lệnh # php -i |grep php.ini để tìm nơi cất giấu file php.ini và được địa chỉ sau /usr/local/lib/php.ini

Tiếp tục mình sử dụng trình Vi (bạn hiểu nó như 1 trình soạn thảo văn bản ở linux) để edit lại file php.ini

Vi /usr/local/lib/php.ini


Nếu bạn là người sử dụng thuần thục lệnh vi này sẽ hiểu rằng nó có 2 chế độ

- Ở chế độ câu lệnh, những gì bạn gõ vào sẽ được hiểu như là câu lệnh ra lệnh cho vi. Lệnh sẽ bảo vi lưu tập tin, thoát khỏi vi, chuyển con trỏ đến các vị trí khác nhau trong tập tin, chỉnh sửa, sắp xếp, xóa bỏ, thay thế và tìm kiếm đoạn văn bản.
– Ở chế độ nhập liệu hoặc còn gọi là nhập văn bản (chế độ INSERT), những gì bạn gõ vào được máy hiểu là nội dung của tập tin mà bạn đang chỉnh sửa. Theo chế độ này, vi hành động như là chiếc máy đánh chữ đơn thuần.


Ở đây mình muốn tìm đến chỗ có từ Safe Mode để On nó lên nên gõ /Safe Mode

Để gõ được những lệnh này bạn nên chuyển Vi sang chế độ câu lệnh bằng nút Esc sau đó bấm tổ hợp phím shift :

Mình tìm được đến chỗ Safe Mode và giá trị mặc định ở đây là OFF . Muốn edit nó thành ON bấm chữ i để chuyển sang chế độ nhập liệu và sửa như bình thường


Tiếp tục sử dụng lệnh /disable_functions để khóa 1 số hàm phục vụ cho việc Local Attack

Làm tương tự như đối với việc chỉnh sửa Safe Mode. Mình disable 1 số functions system, exec, shell_exec, passthru


Khi đã hoàn tất việc edit file bạn nhận Esc để chở về chế độ câu lệnh.Bấm shift : và gõ wq .Để thoát ra và lưu lại file Php.ini đã chỉnh sửa

Công việc đến đây là hoàn tất cho việc áp dụng Safe Mode On & Disable Functions cho các Hosting nằm chung trên 1 Webserver

P/s : Tham khảo thêm lệnh http://www.google.com.vn/url?sa=t&source=web&ct=res&cd=2&ved=0CAoQFjAB&url=http%3A%2F%2Fwww.cyberciti.biz%2Ftips%2Ftag%2Fvi-command&rct=j&q=%22vi%22%2B%22command+linux%22&ei=H2DlSqFYlfrqA6-gjfIJ&usg=AFQjCNGuidGDh7eV33i2yGB62OhTxGH6eQ ở đây

[Up] [Print Copy]
  [Article]   Enable Safe Mode & Disable Functions on Webserver 27/10/2009 10:26:19 (+0700) | #2 | 196780
Dpm
Member

[Minus]    0    [Plus]
Joined: 06/04/2009 01:43:30
Messages: 85
Offline
[Profile] [PM]
Bạn cho hỏi,mình muốn để chế độ safe mode OFF mà vẫn đảm bảo những vấn đề secure tương tự như ON có được không,vì những web mà viết bằng joomla ấy,safe mode On là lỗi rất nhiều,nguyên nhân thì mình chưa tìm hiểu,nhưng có vẻ để nó chạy trên safe mode on là rất vất vả,có khi mất một vài tính năng.một số hosting họ vẫn safe mode off mà vẫn secure,vậy họ làm như thế nào? Thanks.
[Up] [Print Copy]
  [Article]   Enable Safe Mode & Disable Functions on Webserver 27/10/2009 11:29:53 (+0700) | #3 | 196785
[Avatar]
Ikut3
Elite Member

[Minus]    0    [Plus]
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
[Profile] [PM] [Yahoo!]
Một số hosting họ vẫn safe mode off mà vẫn secure,vậy họ làm như thế nào? Thanks.
 

Hello bạn DPM

Mặc định của php.ini để safe mode là OFF . Khi để Safe MOde On thì 1 số hàm sẽ được Disable.Điều này ảnh hướng tới web viết bằng Joomla. Tuy nhiên theo mình thì việc Safe mode off cũng kô phải là vấn đề quan trọng nhất trong việc Secure. Bạn có thể sử dụng file php.ini trong host để disable 1 số hàm

Code:
[system, exec, shell_exec, passthru, pcntl_exec, putenv, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, popen, pclose, set_time_limit, ini_alter, virtual, openlog, escapeshellcmd, escapeshellarg, dl, curl_exec, parse_ini_file, show_source]


1 số hosting họ Safe Mode off nhưng được CHMOD khá kĩ , ngoài ra họ sử dụng .htaccess để chống việc chạy các file php trong các thư mục upload.Bạn cũng có thể tham khảo thêm 1 số giải pháp như MOD Security - Jailkit v.v..

p/s : Trên mạng mình thấy có khá nhiều bài viết hướng dẫn secure cho việc chống local nói chung và cho joomla nói riêng đó
[Up] [Print Copy]
  [Article]   Enable Safe Mode & Disable Functions on Webserver 27/10/2009 18:02:15 (+0700) | #4 | 196800
[Avatar]
learn2hack
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 16:32:37
Messages: 825
Offline
[Profile] [PM] [WWW]
Safe mode mà bật on thì hơi mệt, vì nó kiểm tra rất kĩ càng quyền của người dùng thao tác lên tập tin, nếu ko trùng với owner thì ko thực hiện được. Vì lí do này mà hầu hết các source nếu đã bật safe mode mà ko chmod cho đúng thì hầu như các thao tác với file bị cản lại hết.

Mình dùng từ trước tới giờ rất ngại gặp phải safe mode on, nếu thử trên máy local thì còn giải quyết nhanh được, chứ trên host thì chịu, vì ko đổi được quyền sở hữu của user. Với lại, mình thấy hầu hết các host đều đặt safe mode off, nhưng chmod ổn thì cũng ko ảnh hưởng gì, chạy vẫn tốt cả.
Blog: http://hontap.blogspot.com
Tải phần mềm miễn phí: http://www.taiphanmem.org
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|