Asegurando el acceso al shell de WebHosting

Navega tus respuestas
1

Si proporciono acceso SSH a los usuarios que han pagado el servicio de alojamiento web, ¿qué medidas de seguridad deben aplicarse?

En lo que puedo pensar:

  • claves SSH RSA de tamaño 4096 (estarán seguras por un tiempo)
  • Apache MPM-ITK (que separa cada dominio / subdominio) a través de un usuario / grupo separado según la empresa (quién pagó por qué servicio)
  • Permisos para cada raíz web (0750) recursivamente
  • Comprobación de binarios SUID / SGID peligrosos / no válidos en $ PATH
  • umask (027) para que los nuevos archivos estén cubiertos de forma predeterminada

Una respuesta similar es Proteger entornos de shell restringidos , pero en mi opinión no Cubrir el caso de uso específico de la mía.

    
pregunta Marek Sebera 22.09.2013 - 22:57
fuente

1 respuesta

1

¿Por qué desea proporcionar acceso al shell? Si es algo como servicios-reinicio o tarea definida que podría ejecutarse mediante scripts, use un administrador de tareas simple y basado en shell que permita solo acciones definidas (o mejor, use una herramienta como rundesk / jenkins para proporcionar las mismas tareas a sus clientes a través de la interfaz web)

si necesitas acceso total a la shell, bueno, chroot o vivir con las consecuencias :)

consideraciones ssh:

  • asegúrese de que sus claves estén protegidas por pw
  • genere las claves usted mismo, si puede
  • prohibir pw-login
  • ponga ssh en otro puerto si es posible
  • use sudo y apretado NOPASSWD - definiciones, por ejemplo, restringir a /etc/init.d/apache reload en lugar de /etc/init.d/apache2 que permitiría también a stop

tu umask 027 podría romper cosas, especialmente si permites la carga de archivos a través de scp.

    
respondido por el that guy from over there 23.09.2013 - 08:14
fuente

Lea otras preguntas en las etiquetas

¿es posible insertar datos usando la inyección de SQL en la declaración de selección? ¿Cuáles son los problemas abiertos en el sistema de control de acceso basado en políticas?