Форум русской поддержки Joomla!® CMS
09.12.2016, 17:27:22 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Изолирование папок сайтов на OpenServer

 (Прочитано 550 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Lemady
Осваиваюсь на форуме
***

Репутация: +3/-0
Offline Offline

Пол: Женский
Сообщений: 60



« : 04.11.2016, 22:20:55 »

Доброго времени суток!

Как известно, некоторые скрипты пытаются "пролезть" на сайты, размещенные на том же аккаунте. Мне часто приходится поднимать такие сайты из бекапа, запускать зараженные вредоносами сайты на OpenServer.

Я понимаю, что возможно нужно писать не сюда, но может быть ответ на этот вопрос будет интересен многим. А вопрос такой: как изолировать папки сайтов друг от друга, что бы выполнение вредоноса было невозможно вне корневой директории родительской папки (папки сайта)?
Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #1 : 04.11.2016, 22:36:27 »

Показать текстовый блок

php.ini Походу так. Хотя смысла нет )
Записан
Lemady
Осваиваюсь на форуме
***

Репутация: +3/-0
Offline Offline

Пол: Женский
Сообщений: 60



« Ответ #2 : 04.11.2016, 22:43:08 »

Почему смысла нет? Я беспокоюсь о том, что в соседние папки может быть что то внедрено. Часто нахожу левые папки там, где их не должно быть. Такое бывает, когда сохраняется файл по неправильному пути.
Записан
AlekVolsk
Профи
********

Репутация: +317/-3
Offline Offline

Пол: Мужской
Сообщений: 6460



« Ответ #3 : 04.11.2016, 22:52:42 »

у меня для таких вещей спецом отдельная копия опенсервера поднята
Записан
Lemady
Осваиваюсь на форуме
***

Репутация: +3/-0
Offline Offline

Пол: Женский
Сообщений: 60



« Ответ #4 : 04.11.2016, 22:57:19 »

у меня для таких вещей спецом отдельная копия опенсервера поднята
Нет, ну можно и виртуальную машину отдельно поднять для каждого  сайта. Только вот удобство работы сильно падает.
Записан
AlekVolsk
Профи
********

Репутация: +317/-3
Offline Offline

Пол: Мужской
Сообщений: 6460



« Ответ #5 : 04.11.2016, 23:03:27 »

что мешает тупо отдельно папку на харде держать? много места не съедает, спец.настроек не требует, а от скриптов, которые могут полезть по папкам за пределы опенсервера уже никакие настройки не спасут - весь комп прошерстят сразу и внезапно
мораль: почаще бекапируйте всё!
Записан
SmokerMan
Профи
********

Репутация: +694/-25
Offline Offline

Пол: Мужской
Сообщений: 5225



« Ответ #6 : 04.11.2016, 23:07:03 »

смысла в этом особо нет по одной простой причине - сами по себе эти скрипты как правило ничего не делают, а делают по какой-то команде
на локалку естественно никто стучаться не будет
ну и просто перед тем как запустить какой-то сайт на локалке надо пройтись хотя бы по файлам айболитом и посмотреть что он найдет, а дальше уже по ситуации
и если стоит антивирь какой-нибудь он тоже должен блокировать это
Записан
Lemady
Осваиваюсь на форуме
***

Репутация: +3/-0
Offline Offline

Пол: Женский
Сообщений: 60



« Ответ #7 : 04.11.2016, 23:14:35 »

Авира стоит, не блокирует. Команда извне...так запуск и по расписанию может быть, и при наступлении какой то даты, и просто при заходе очередного пользователя... Я не поняла, AlekVolsk написал - весь комп прошерстят...неужели до сих пор не изобрели никакого механизма изоляции? Вы серьезно?

Вот еще такой вопрос: а если я в каждой папке с сайтом в .htaccess добавлю что то вроде
php_value open_basedir "/"
Это поможет? Или можно не трогая файлы сайтов в корене, например Е:\OpenServer\domains создать свой htaccess?
Записан
Lemady
Осваиваюсь на форуме
***

Репутация: +3/-0
Offline Offline

Пол: Женский
Сообщений: 60



« Ответ #8 : 05.11.2016, 00:04:48 »

А нельзя сделать разные аккаунты, как, например, на VPS?
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7778



« Ответ #9 : 05.11.2016, 11:26:31 »

вы сами отвечали
Нет, ну можно и виртуальную машину отдельно поднять для каждого  сайта. Только вот удобство работы сильно падает.
чтобы реально отделить мух от котлет - то только так

только можно (и нужно, потому что работать на OpenServer это вообще ад какой то) не для каждого сайта, а 1 раз настроить сервер линуксовый на виртуальной машине, и с ним работать
« Последнее редактирование: 05.11.2016, 11:30:14 от dmitry_stas » Записан
Taatshi
Support Team
*****

Репутация: +430/-3
Offline Offline

Пол: Женский
Сообщений: 4718

Мама, я снова верстал во сне...


« Ответ #10 : 05.11.2016, 11:31:13 »

Тоже подумывала на эту тему. И выработала себе принцип безпасности.

1) Перезаливаю движок поверх с перезаписью
2) Инспектирую папку libraries на наличие сторонних файлов.

И только потом запускаю сам сайт и начинаю лечение. Ибо остальные виды вирусов вряд ли заработают так, что весь сервер угробят.
Записан
voland
Профи
********

Репутация: +488/-86
Online Online

Пол: Мужской
Сообщений: 8733


любит наш народ всякое гавно...


« Ответ #11 : 05.11.2016, 11:46:40 »

1) недоступность извне.
Достаточно на роутере не пробрасывать порты и/или запретить в апаче запросы извне
2) запускать сервер от юзера с ограниченными правами
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7778



« Ответ #12 : 05.11.2016, 12:06:30 »

1) Перезаливаю движок поверх с перезаписью
2) Инспектирую папку libraries на наличие сторонних файлов.

а если заражен шаблон, компонент, плагин, etc?

И только потом запускаю сам сайт и начинаю лечение. Ибо остальные виды вирусов вряд ли заработают так, что весь сервер угробят.

т.е. команда

Код:
shell_exec('format c: /q /autotest');

думаешь не причинит вреда? Azn я конечно утрирую, но направление думаю понятно. сделай что то типа

Код:
echo shell_exec ('dir');

убедись, что команды консоли прекрасно выполняются, сделай выводы Azn
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #13 : 05.11.2016, 12:19:52 »

думаешь не причинит вреда? Azn я конечно утрирую, но направление думаю понятно. сделай что то типа

Код:
echo shell_exec ('dir');

убедись, что команды консоли прекрасно выполняются, сделай выводы Azn

Вот хорошенький вариант))
Цитировать
echo `ls -la`;
Записан
Taatshi
Support Team
*****

Репутация: +430/-3
Offline Offline

Пол: Женский
Сообщений: 4718

Мама, я снова верстал во сне...


« Ответ #14 : 05.11.2016, 13:53:44 »

dmitry_stas, это все понятно. Но у меня вообще ни разу не было случая чтоб перескакивали вирусы) Это я для собственного спокойствия)

Имхо, автозапуски выполняют рекламные или какие-то еще, конечные функции. Распространяется вирус ботами. На локалку им не попасть.
Записан
AlekVolsk
Профи
********

Репутация: +317/-3
Offline Offline

Пол: Мужской
Сообщений: 6460



« Ответ #15 : 05.11.2016, 13:55:04 »

короче, кроме как виртуалки ничего не поможет, да и то: виртуалка должна быть изолированной, без пробросов портов к основной сети
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7778



« Ответ #16 : 05.11.2016, 14:04:55 »

Но у меня вообще ни разу не было случая чтоб перескакивали вирусы
та это тоже понятно Azn вирус специально для OpenServer - попаданий мало, не хотят может заморачиваться. но как сказал «Тот-Кого-Нельзя-Называть», у меня 100 посещений с конверсией 60% Azn короче, может быть этого и не будет никогда, но даже 1 раз - может быть очень больно...
Записан
Taatshi
Support Team
*****

Репутация: +430/-3
Offline Offline

Пол: Женский
Сообщений: 4718

Мама, я снова верстал во сне...


« Ответ #17 : 05.11.2016, 14:27:24 »

Тот-Кого-Нельзя-Называть....  laugh

Патсталом)
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2287



« Ответ #18 : 05.11.2016, 19:41:44 »

А нельзя сделать разные аккаунты, как, например, на VPS?
Можно.

Вариантов решения вашего вопроса много. Можно даже поизвращаться, создав под каждый сайт свою папку с опенсервером, и в настройках php.ini каждого из них прописать open_basedir и отключение небезопасных функций, или действительно поднять виртуалку. Лично я, право, не понимаю, почему до сих пор в опенсервере, который позиционируется как профессиональный инструмент, не реализована защита данных, какое то облачное разделение сайтов...как, например, технология LVE (Lightweight Virtual Environment) в CloudLinux. Вот эта операционка позволяет разделять ресурсы в рамках одного аккаунта. Так же в ней есть инструмент CageFS, который для каждого юзера создает свою файловую систему, что удобно и безопасно. Правда из личной практики частенько в ней ошибки вываливаются, особенно 500-я.

Вообщем что хочу сказать... Имхо конечно, но я соглашусь с dmitry_stas - все таки опенсервер для серьезных дел это как Notepad++ против  PhpStorm ))) Работать можно, но...но...но... Да и скорость у него не высокая, серьезные сайты еле ползают на нем.

Решение - в идеале отдельный комп с Linux на борту, либо поставить Linux второй системой, либо - виртуалка. Лично я не смог полностью перейти на Linux, т.к. нет в ней тех приложений, которые мне нужны, нет простоты, как в Windows. Не знаю, как будет в виртуалке, не пробовал, но в среде Linux сайты работают намного шустрее. Можно замутить, к примеру, Debian с панелью Vesta, она бесплатная. И, особо не заморачиваясь с настройками, работать по правилу: один аккаунт - один сайт.

Если у кого будут другие предложения, рад буду послушать, т.к. не уверен, что предлагаю действительно лаконичное решение.
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7778



« Ответ #19 : 05.11.2016, 19:52:57 »

Не знаю, как будет в виртуалке, не пробовал, но в среде Linux сайты работают намного шустрее.
с учетом того, что на сайт нагрузки не будет никакой по сути, заметной разницы между виртуалкой и реальным сервером по скорости тоже не будет. даже если и есть, по сравнению с OpenServer все равно как самолет Azn
Записан
voland
Профи
********

Репутация: +488/-86
Online Online

Пол: Мужской
Сообщений: 8733


любит наш народ всякое гавно...


« Ответ #20 : 05.11.2016, 20:29:52 »

Кстати, а почему тут еще не было слова vagrant?
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #21 : 05.11.2016, 21:13:14 »

Кстати, а почему тут еще не было слова vagrant?

как я понял vargant это выполняет файл конфига, создает виртуальную машину по определенному конфигу.

Разве не проще настроить виртуалку с нужными инструментами для анализа/ремонта и сделать snapshot- состояние виртуальной машины.
SnapShot для это и придуман - чтобы в любой момент создавать изолированные машины настроенные и сразу готовые к работе.
« Последнее редактирование: 05.11.2016, 21:21:44 от AlexeyGal » Записан
voland
Профи
********

Репутация: +488/-86
Online Online

Пол: Мужской
Сообщений: 8733


любит наш народ всякое гавно...


« Ответ #22 : 05.11.2016, 21:25:26 »

как я понял vargant это выполняет файл конфига, создает виртуальную машину по определенному конфигу.

Разве не проще настроить виртуалку с нужными инструментами для анализа/ремонта и сделать snapshot- состояние виртуальной машины.
SnapShot для это и придуман - чтобы в любой момент создавать изолированные машины настроенные и сразу готовые к работе.
Не, не проще )
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1467


« Ответ #23 : 06.11.2016, 01:43:13 »

Цитировать
Нет, ну можно и виртуальную машину отдельно поднять для каждого  сайта
Вот это порно!

Цитировать
как изолировать папки сайтов друг от друга
На Nginx я делаю так:

Код:
fastcgi_param PHP_ADMIN_VALUE "open_basedir=${document_root}";

На Apache так:

Код:
php_admin_value open_basedir X:/local-server/www/joomla3

Цитировать
Мне часто приходится поднимать такие сайты из бекапа, запускать зараженные вредоносами сайты на OpenServer

ОМГ! Лучше бы блинчики испекли.
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1467


« Ответ #24 : 06.11.2016, 01:47:38 »

Цитировать
все таки опенсервер для серьезных дел это как Notepad++ против  PhpStorm
Не-не-не! Notepad++ рулит. Я даже на Ubuntu себе его запилил, так как линуксовских аналогов вообще нет. Минимализм, обширный функционал, куча плагинов, подсветка синтаксиса любая, какая захочешь. Главное -- клавиатура и писать, и чтоб ничто не отвлекало. Notepad++ шикарно выполняет эту задачу.
Записан
Taatshi
Support Team
*****

Репутация: +430/-3
Offline Offline

Пол: Женский
Сообщений: 4718

Мама, я снова верстал во сне...


« Ответ #25 : 06.11.2016, 09:30:30 »

Дык...и PhpStorm ни в одном из перечисленных пунктов не уступает. И еще 2/3 кода сам за тебя пишет. В Notepad++ тоже есть автоподстановка, но все же она какая-то... нелепая. А синхронизация с сервером у Шторма просто бомба.
Записан
Lemady
Осваиваюсь на форуме
***

Репутация: +3/-0
Offline Offline

Пол: Женский
Сообщений: 60



« Ответ #26 : 06.11.2016, 14:20:29 »

ОМГ! Лучше бы блинчики испекли.

Филип, я вам щас минус в репу испеку! ))
Я ж только учусь... Тоесть вы все таки советуете open_basedir ?
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1467


« Ответ #27 : 06.11.2016, 14:43:08 »

Цитировать
Тоесть вы все таки советуете open_basedir?

open_basedir в параметрах сервера Nginx или Apache, не в .htaccess, а в контексте директории, задаётся директивой PHP_ADMIN_VALUE (не изменяемая во время исполнения). Затем необходимо запретить 2 функции в php.ini

Код:
disable_functions = exec,shell_exec
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +121/-4
Offline Offline

Пол: Мужской
Сообщений: 1467


« Ответ #28 : 06.11.2016, 14:47:30 »

Дык...и PhpStorm ни в одном из перечисленных пунктов не уступает. И еще 2/3 кода сам за тебя пишет. В Notepad++ тоже есть автоподстановка, но все же она какая-то... нелепая. А синхронизация с сервером у Шторма просто бомба.

Иногда я забываю какие параметры нужно пихать в нативные функции, Notepad++ подсказывает. Тот уровень подстановки меня устраивает. Я не спорю, что Шторм или Сублайм более наворочены, просто Notepad для минималистов типа меня. В остальных редакторах я не могу работать, у меня просто глаза разбегаются от всех этих плюшек.
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7778



« Ответ #29 : 06.11.2016, 14:48:19 »

Вот это порно!
хочется порно? http://kurskcrb.ru/2015/03/15/поликника-начинается-с-регистратуры/ - реальный сайт на OpenServer Azn
Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet