-
SP Shell Provider
aqui vai a minha parte
Tal como foi dito, tb concordo com a ideia de ter 2 maquinas, uma para shells, bnc's etc etc... e outra para http, se queres o meu conselho no que diz respeito aos daemons que queres utilizar, qui vai:
FTP = vsFTPD (Very Secure FTPD) é um server de ftp facil de configurar, e bastante poderoso, é utilizado nos mirrors da redhat, suse, entre outros.. há mta gente que opta plo ProFTPD, tudo bem que ainda é mais facil de configurar, mas tb é um campeão em "remote holes"
Apache 1.3.31 + PHP como já deves saber o apache é um bom webserver, eu pessoalmente prefiro as versoes 1.3.X , há quem gosta das 2.0.x, mas n sou eu :P
Quanto ao PHP aconselho que dês uma olhadela no /etc/php.ini e dares aguns ajustes, pois a configuração por defeito, apesar de funcionar, pode apresentar serios riscos de segurança, e levar ao comprometimento da maquina (estou a falar de uma maquina para http, onde n existe acesso á consola, ssh, ou telnet por exemplo)
Algumas coisas que deves ter em atenção no /etc/php.ini
SafeMode = On
GlobalRegisters = Off
DisableFunctions = system(), exec(), passtrhu(), shellexec(), e com certeza que dev haver mais outras que eu n me lembro, estas funçoes permitem executar commandos do SO, atraves do php.
ora tenta isto:
<?
system("uname -a;id");
?>
dps coloca-o no server, e executa-o, com uma instalação por defeito do php e terás uma bela surpresa :)
se queres segurança extra no apache, sp podes optar plo "mod_security" ou fazer um chroot ao daemon, man chroot :)
OpenSSH 3.8p1, por razoes obvias...
MySQL, ultima versão, visto que mtas SP's correm versoes de MySQL, as quais são possiveis fazeres login como root no MySQL em necessitares de password ... mto mau né?
partiçoes separadas, para as directorias world writable, são elas
/tmp
/var/tmp
faz essas duas partiçoes á parte, e no fstab coloca a flag "noexec" e "nosuid" nestas duas partiçoes, todos peodem ler e escrever, mas executar nem pensar... já é mais meio caminho andado se quiseres impedir um kiddie leet de te ownar a maquina.. sim eles fazem sp download de exploits pra essas dirs, ahh e já agr faz um chmod 700 ao wget, tb ajuda mto :)
è o que tenho a dizer em relação a uma maquina para http..
Quanto a uma maquina pra shells, a coisa compilaca-se, visto que existe acesso á consola, uma pequena distração nossa, pode levar ao comprometimento do servidor nesta situação, o que eu acho mais importante é:
Um kernel sempre, mas sempre actualizado, mesmo que um bug existente seja minimo, actualiza o kernel sempre que puderes.. e está atento ás actualizaçoes do mesmo...
e um chroot do ssh, para que cada user n possa sair da sua home, ou seja, quando um user fizer na consola, cd /
na verdade vai fazer um cd /home/user... gotcha?
outra coisa que convem lembrar é defenir o numero maximo de processos pra cada user, isso pode ser feito no /etc/sysctl.conf
acho que é o basico pra pores isso a funcionar, minimamente bem... e klaro um bom SO a "carregar" com isso tudo :)
Slckware, Debian ou FreeBSD 4.10 :) acho que estão á altura do serviço :)
Um Abraço, The-shadow@ptnet
-
SP Shell Provider
hey....... ;) The-Shadow.. MUITO OBRIGADO.. MESMO ;)
eu tb sou de portugal.. ;)
diz-me..sabes ai algum manual o assim? isso sim seria porreiro.. ;) para eu estudar muito a serio nas ferias...
obrigado ;)
-
SP Shell Provider
um how-to sobre shellproviders... nc vi mesmo... o que podes fazer é uma compilação de varios temas..
like
chroot apache how-to
chroot sshd how-to
etc etc...
-
SP Shell Provider
é que eu não sei mesmo.. algumas coisas..
do tipo.. por limites para user's.. etc etc etc.. eu nem sei como fazere atribuir uma shell com psybnc etc etc etc...
é mesmo por isso que eu queria uns how-to..
-
SP Shell Provider
isso deve ser dificil de arranjares.. how-tos sobre shell providers, n tou mm a ver, como sabes o segredo é a alma do negócio, mas n é nd de outro mudo. Quanto ao atribuir espaço aos utilizadores é mto facil, basta teres a partição /home configurada com suporte a quotas, procura no google
"linux quota how-to"
de certeza que deves encontrar mta informação disso.. quanto aos psybnc's n é nd de outro mundo
um compilador como o gcc basta..
e os egddrops
basta o gcc + TCL
isto disponivel pros utilizadores klaro... já que o make install é feito na propria dir do utilizador..n há necessidade de ser o root a instalar ssas coisas, normalmente os administradores de shells, limitam-se a criar a conta para o utilizador, e copiar um bnc e um eggdrop para a sua home, se o utilizador quiser instalar, fa-lo, else... apaga :)
plo que sei funciona assim, fica bem