Vínculos simbólicos de public_html al directorio que se enlaza a los archivos en el directorio de inicio personalizado

Navega tus respuestas
1

He configurado un proyecto de sitios múltiples en un servidor VPS con WHM y cPanel.

Codebase se instala en una carpeta personalizada creada llamada sites dentro del directorio de inicio de la cuenta de usuario de cPanel, con un subdominio master.example.com que actúa como el sitio maestro. 

home/username/sites/master/public_html

Luego, he creado sitios esclavos, que consisten en enlaces simbólicos a la instalación maestra, pero cada uno está configurado para usar su propia base de datos. Sólo están usando el mismo código, de mi maestro.

Hay subdominios adicionales dentro de mi directorio de sitios anteriores, cada uno con su propio directorio como: 

home/username/sites/sub1/public_html
home/username/sites/sub2/public_html

Además de mi dominio principal, que se encuentra en: 

home/username/public_html

Como se dijo, todos los sitios esclavos son prácticamente enlaces simbólicos a los archivos de mi única instancia de aplicación web de mi sitio maestro.

Debido a algunos problemas con el Software del Servidor que no pudo "entender" la configuración anterior, el proveedor de alojamiento me informó que al vincular mi carpeta public_html a los archivos que residen fuera de ella y dentro de otra carpeta de mi casa, se rompe la compatibilidad con ese software, y además es extremadamente inseguro y no es compatible, ya que abre todo el servidor a vulnerabilidades, ya que estos enlaces simbólicos pueden usarse para obtener acceso a todo el sistema de archivos raíz.

Por lo tanto, ahora necesito algunos comentarios de la industria de la seguridad.

  • ¿La configuración anterior es mala por naturaleza y es algo que nunca debería hacer bajo ninguna condición?

  • ¿Por qué es malo vincular mi public_html a los archivos de una carpeta que están fuera de ella y específicamente a la carpeta que mencioné anteriormente?

  • ¿Cómo se pueden usar dichos enlaces simbólicos en mi contra y para tomar el control del sistema de archivos raíz?

  • ¿Cuáles son los requisitos adicionales que debería tener en cuenta para que la configuración anterior funcione sin ser insegura?

pregunta tafvita 17.09.2016 - 11:02
fuente

1 respuesta

1

Como no conozco la tecnología en la que está trabajando, intentaré responder las preguntas de manera general. Espero que esto ayude.  Responda a sus preguntas anteriores:

¿La configuración anterior es mala por naturaleza y es algo que nunca debería hacer bajo ninguna condición? - Depende de cuán vulnerable seas a las amenazas y ataques. Eso, por supuesto, depende de la reputación (visitas diarias) que tenga su sitio web.

¿Por qué es malo vincular mi public_html a una carpeta que está fuera de ella y específicamente a la carpeta que mencioné anteriormente? - Porque los adversarios pueden secuestrar el enlace que está utilizando para unir los archivos públicos a archivos no públicos para acceder a su contenido protegido / no público.

¿Cómo se pueden usar dichos enlaces simbólicos en mi contra y para tomar el control del sistema de archivos raíz? - igual que arriba

¿Cuáles son los requisitos adicionales que debería tener en cuenta para que la configuración anterior funcione sin ser insegura? - Debe configurar alguna medida de seguridad para asegurarse de que solo las entidades de confianza tengan acceso al espacio protegido.

    
respondido por el Penguine 18.09.2016 - 08:55
fuente

Lea otras preguntas en las etiquetas

¿Existen vulnerabilidades de XSS en el marco de Vaadin? ¿Los paquetes de red capturan lo que se encripta en un dispositivo?