Вопросы Теги

Солярис 11 nslookup инвертирует IP

Один путь был бы этим:

  • Имейте группу для каждого сайта, имейте людей в том использовании группы umask 0002 таким образом, файлы, которые они создают, являются чтением-записью для группы и читаемый для других по умолчанию.
  • chmod a-rwx корневой каталог каждого сайта, для предотвращения доступа людьми вне разрешенной группы.
  • Включите ACLs для своей файловой системы, и setfacl -m user:apache:rx тот каталог для предоставления доступа для чтения к apache пользователь, в дополнение к другим полномочиям.

Относительно файлов, созданных апачским процессом:

  • Чтение файлов, созданных апачским пользователем, должно быть возможно для соответствующей группы, пока они создаются читаемые миром.
  • Удаление файлов возможно, пока они находятся в перезаписываемом группой каталоге.
  • Если это недостаточно, Вы могли бы позволить Вашим пользователям sudo апачскому пользователю. Возможно, только, чтобы выполнить определенные команды, например, добавить группу пишут полномочия с помощью ACLs.

Но поскольку Вы заявили, все ограничения чтения могут обойтись, если пользователи могут запустить произвольные скрипты как апачский пользователь. Для противостояния этому Вы могли попытаться иметь сценарии одного сайта, выполняемого как определенный пользователь в соответствующей группе. Я полагаю, что существует способ установить это использование mod_fcgid. Иначе apache[suexec] и php[cgi] мог бы работать на Вас.

Для получения еще лучшей изоляции у Вас должно было бы быть несколько апачских процессов, работая как различные пользователи, и возможно даже chrooted к различным каталогам. Или в различных единицах OpenVZ или другом Xen domUs, или на других аппаратных средствах. Как Вы видите, существует много различных уровней изоляции, каждой обеспечивающей лучшей изоляции, чем та прежде, за счет mre требований к ресурсам.

0
19.06.2013, 01:31
1 ответ

Это корректно. Обратные поиски DNS выполняются путем запросов PTR запись для IP-адреса в .in-addr.arpa домен. Имена DNS имеют младший значащий / наименее широкий компонент сначала, таким образом, октеты IP-адреса, которые записаны со старшим значащим / самым широким компонентом сначала, помещаются в обратный порядок так, чтобы каждый класс сети мог иметь DNS зоны.

Если Вы хотите поддерживать обратные поиски DNS на частных IP-адресах, необходимо будет настроить зону для 10.in-addr.arpa. содержать PTR запись для 50.4.128.10.in-addr.arpa..

3
28.01.2020, 02:28
  • 1
    @WarrenYoung Да, я знаю, что он имеет отношение к зонам DNS, но порядок, в котором они записаны, был первоначально произвольным проектным решением. DNS был разработан для использования противоположного порядка, как классы Java, затем имя хоста в качестве примера было бы com.mycompany.www.server456, rDNS поиск называет для 10.128.4.50 был бы .arpa.in-addr.10.128.4.50, и URL имели бы все элементы, идущие от более широкого до более определенных идентификаторов. –  depquid 18.06.2013, 19:26
  • 2
    @WarrenYoung Вы правы. В моем уме метафорическое понятие упорядочивания расширяется на компоненты имен DNS, но так как это не проблема порядка байтов, я вижу, как мое использование термина 'порядок байтов' сбивало с толку. Я отредактировал свой ответ для удаления его. –  depquid 18.06.2013, 19:49
  • 3
    я удалил свои комментарии. –  Warren Young 18.06.2013, 19:56

Теги

Похожие вопросы