/ proc dosya sistemi erişim denetimi
- Kontrol panelini CloudLinux ile entegre etme
CloudLinux çekirdeği, sunucu yöneticisinin /proc
özel parametrelerle dosya sistemine kullanıcı erişimini kontrol etmesine olanak tanır . Ayrıcalıksız sistem kullanıcıları, diğer sistem kullanıcılarının işlemlerini göremeyecek, sadece işlemlerini görebileceklerdir. Ayrıntılara buradan bakın .
Eğer fs.proc_can_see_other_uid
parametresi, sysctl
CageFS paketi kurulumu sırasında config’de tanımlanmaz , şu şekilde ayarlanır 0
:fs.proc_can_see_other_uid=0
.
Bu parametreyi ayrıca /etc/sysctl.conf
dosyasını açın ve ardından sysctl -p
komut.
hidepid
parametresi temel alınarak ayarlanır fs.proc_can_see_other_uid
otomatik olarak parametre değeri lve_namespaces
hizmet başlangıcı (yani lve-utils
paket kurulumu ve sunucu önyüklemesi).
Kontrol panelini CloudLinux ile entegre etme
Yönetici eklemek için aşağıdaki komutu çalıştırın. proc_super_gid
grup (panel yöneticisi bir kök kullanıcı değilse veya birkaç yönetici varsa):
/usr/share/cloudlinux/hooks/post_modify_admin.py create --username <admin_name>
Not
Bu yönetici bir sistem kullanıcısı olarak var olmalıdır.
Bu komut ayrıca belirli bir yönetici ekler. clsudoers
grup, bu nedenle LVE Manager yöneticisinin eklentisi düzgün çalışıyor.
Bu komut, yönetici kullanıcıyı sisteme ekledikten sonra kontrol panelinin çağırması gereken bir kancadır.
Eğer yöneticileri yüklerken liste komut dosyasının varlve-utils
paketin ardından mevcut yöneticiler otomatik olarak işlenecektir. Komut dosyası yoksa, her yönetici için yukarıda belirtilen komutu çalıştırmalısınız.
Symlink koruması
CloudLinux çekirdeklerinde symlink saldırıları koruması vardır. Bu koruma etkinleştirildiğinde, sistem kullanıcıların var olmayan / kendi dosyalarına değil sembolik bağlar (ve sabit bağlantılar) oluşturmasına izin vermez.
Burada tüm koruma mekanizması parametrelerini bulabilirsiniz.
Ayrıca bakınız: web sunucusunu korumak için özel modül .
Koşabilirsin cldiag
ile yardımcı --check-symlinkowngid
web sunucusu koruma mekanizmalarınızın doğru kurulup kurulmadığını kontrol etmek için parametre.
# cldiag --symlinksifowner
Check fs.enforce_symlinksifowner is correctly enabled in sysctl conf:
OK: fs.enforce_symlinksifowner = 1
There are 0 errors found.
# cldiag --check-symlinkowngid
Check fs.symlinkown_gid:
OK: Web-server user is protected by Symlink Owner Match Protection
There are 0 errors found.
- Sembolik bağlantı geçiş koruması varsayılan olarak devre dışıdır.
- Symlink sahibi eşleşme koruması varsayılan olarak etkindir.
Sembolik bağlantı koruması nasıl etkinleştirilir
Yı kur symlinkown_gid
web sunucusu işleminin GID grubunun değeri için parametre.
Sembolik bağlantı korumasını etkinleştirmeden önce, kontrol paneli işlevselliğini bozmadığından emin olun.
Örneğin, ayrıcalıklı olmayan bir kullanıcının sahip olmadığı dosyalara veya dizinlere sembolik bağlantılar veya sabit bağlantılar oluşturmasına izin verilirse, sembolik bağlantı geçiş korumasını etkinleştirirken bunu yapamayacaktır.
Ayrıcalığı olmayan bir kullanıcının böyle bir sembolik bağ veya sabit bağlantı oluşturmasına izin vermek için, sembolik bağın başvurduğu bir dosya / linksafe
grubu.
Dosya sistemi kotaları
CloudLinux OS yardımcı programlar (bazıları cagefsctl
, selectorctl
, cloudlinux-selector
, vs) bu kullanıcı adına Kullanıcının ana dizinine dosyaları yazar.
Dolayısıyla, kullanıcı için ayarlanmışsa disk kotalarına tabidirler. Yardımcı programlar, hataları önlemek için bu kotaları geçersiz kılabilir. Bu izinleri kontrol eden çekirdek parametreleri için Dosya sistemi kotaları’na bakın . Bu parametre yalnızca XFS dosya sistemi için kullanılır.
Kaynak: https://docs.cloudlinux.com/control_panel_integration/#cloudlinux-kernel-set-up