Foros del Web » Administración de Sistemas » Unix / Linux »

¿Cómo denegar acceso a otros subdirectorios de public_html?

Estas en el tema de ¿Cómo denegar acceso a otros subdirectorios de public_html? en el foro de Unix / Linux en Foros del Web. Hola a todos, Tengo un servidor dedicado con el típico public_html lleno de carpetas que corresponden a dominios de clientes. El problema es que desde ...
  #1 (permalink)  
Antiguo 10/09/2013, 03:36
 
Fecha de Ingreso: julio-2005
Mensajes: 275
Antigüedad: 14 años
Puntos: 3
¿Cómo denegar acceso a otros subdirectorios de public_html?

Hola a todos,

Tengo un servidor dedicado con el típico public_html lleno de carpetas que corresponden a dominios de clientes.

El problema es que desde una subcarpeta public_html/dominio.com se puede tener acceso vía php al raíz public_html o incluso a otro dominio public_html/otro.com, y eso presenta un grave agujero de seguridad desde mi punto de vista.

He creado un php en /dominio.com en el que he puesto un código que creaba un archivo a ../../otro.com/archivo.txt y lo ha hecho sin problemas ejecutándose desde el navegador simplemente.

Algunas de esas carpetas de clientes tienen acceso ellos mismos vía FTP para modificar cosas, así que no me fio un pelo.

¿Cómo puedo hacer para que en ningún caso algún script dentro de una carpeta pueda acceder a más allá de su propia carpeta?

Gracias!
  #2 (permalink)  
Antiguo 10/09/2013, 06:50
 
Fecha de Ingreso: octubre-2010
Mensajes: 374
Antigüedad: 8 años, 10 meses
Puntos: 34
Respuesta: ¿Cómo denegar acceso a otros subdirectorios de public_html?

Bueno en primer lugar esta mal diseñada la estructura, lo ideal hubiera sido poner a cada cliente con un nombre de usuario distinto /home/cliente1 /home/cliente2 y que PHP se ejecute en cada cliente con su nombre de usuario.

Así como lo montas esta un poco complicado, pero se puede hacer, si creas para cada cliente un usuario distinto y configurar suexec y suphp y, también lo más útil es añadir una directiva de open_base_dir para cada cliente, así solo podrán escribir, ver, abrir etc en la ruta definida, que será la carpeta del cliente, un tmp y poco más.
__________________
Administrador de Servidores -> yo[arroba]skamasle[puntito]com
| Debian | Centos |
| Solución de Problemas | Seguridad | Instalaciones y Configuraciones | Soluciones Anti-DDOS
  #3 (permalink)  
Antiguo 10/09/2013, 07:11
 
Fecha de Ingreso: julio-2005
Mensajes: 275
Antigüedad: 14 años
Puntos: 3
Respuesta: ¿Cómo denegar acceso a otros subdirectorios de public_html?

Cita:
Iniciado por skamasle Ver Mensaje
Bueno en primer lugar esta mal diseñada la estructura, lo ideal hubiera sido poner a cada cliente con un nombre de usuario distinto /home/cliente1 /home/cliente2 y que PHP se ejecute en cada cliente con su nombre de usuario.

Así como lo montas esta un poco complicado, pero se puede hacer, si creas para cada cliente un usuario distinto y configurar suexec y suphp y, también lo más útil es añadir una directiva de open_base_dir para cada cliente, así solo podrán escribir, ver, abrir etc en la ruta definida, que será la carpeta del cliente, un tmp y poco más.
Claro, pero aquí cuando llegue yo ya estaba todo así montado con el mismo usuario. Y son cerca de 200 carpetas.

Así de primeras lo del open_base_dir me suena un poco a chino, buscaré información.

Y lo de suexec y suphp lo mismo...

Gracias!
  #4 (permalink)  
Antiguo 11/09/2013, 07:39
 
Fecha de Ingreso: octubre-2010
Mensajes: 374
Antigüedad: 8 años, 10 meses
Puntos: 34
Respuesta: ¿Cómo denegar acceso a otros subdirectorios de public_html?

Cita:
Iniciado por kitune Ver Mensaje
Claro, pero aquí cuando llegue yo ya estaba todo así montado con el mismo usuario. Y son cerca de 200 carpetas.

Así de primeras lo del open_base_dir me suena un poco a chino, buscaré información.

Y lo de suexec y suphp lo mismo...

Gracias!
Siempre puedes trabajar un poco y comenzar a mover a los clientes a cuentas aparte, tardarás pero es lo mejor.

O eso o contratar un nuevo servidor con un panel e ir moviendo los.

Más fácil, más seguro, más comodo, los backups son más sencillos etc.
__________________
Administrador de Servidores -> yo[arroba]skamasle[puntito]com
| Debian | Centos |
| Solución de Problemas | Seguridad | Instalaciones y Configuraciones | Soluciones Anti-DDOS

Etiquetas: carpeta, denegar, ip, servidor, subdirectorios
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 07:24.