Protezione dell'accesso alla shell di WebHosting

1

Se fornisco l'accesso SSH agli utenti che hanno pagato il servizio di web hosting, quali misure di sicurezza dovrebbero essere applicate?

Cosa posso pensare:

  • Chiavi SSH RSA di 4096 dimensioni (deve essere sicuro per un po ')
  • Apache MPM-ITK (separando ogni dominio / sottodominio) tramite utente / gruppo separato in base all'attività (chi ha pagato per quale servizio)
  • Autorizzazioni per ogni web root (0750) in modo ricorsivo
  • Verifica di binari SUID / SGID pericolosi / non validi in $ PATH
  • umask (027) quindi i nuovi file sono coperti per impostazione predefinita

Risposta simile è Protezione degli ambienti con shell ristrette , ma secondo me non coprire il mio caso d'uso specifico.

    
posta Marek Sebera 22.09.2013 - 22:57
fonte

1 risposta

1

perché vuoi fornire l'accesso alla shell? se si tratta di servizi-riavvio o attività definita che potrebbero essere eseguiti tramite script, utilizzare un semplice task-manager basato su shell che consente solo azioni definite (o meglio, utilizzare uno strumento come rundesk / jenkins per fornire le stesse attività a voi clienti via webinterface)

se hai bisogno di un accesso completo alla shell, beh, o chroot o vivi con le conseguenze:)

ssh:

  • assicurati che le tue chiavi siano protette da pw
  • genera chiavi tu stesso, se puoi
  • non consentire l'accesso pw
  • metti ssh su un'altra porta, se possibile
  • usa sudo e tight NOPASSWD - definizioni, ad esempio limitati a /etc/init.d/apache reload invece di /etc/init.d/apache2 che consentirebbe anche a stop

il tuo umask 027 potrebbe rompersi, specialmente se permetti il fileupload via scp.

    
risposta data 23.09.2013 - 08:14
fonte

Leggi altre domande sui tag