/ proc dosya sistemi erişim denetimi
- Kontrol panelini CloudLinux ile entegre etme
CloudLinux çekirdeği, sunucu yöneticisinin /procözel parametrelerle dosya sistemine kullanıcı erişimini kontrol etmesine olanak tanır . Ayrıcalıksız sistem kullanıcıları, diğer sistem kullanıcılarının işlemlerini göremeyecek, sadece işlemlerini görebileceklerdir. Ayrıntılara buradan bakın .
Eğer fs.proc_can_see_other_uidparametresi, sysctlCageFS paketi kurulumu sırasında config’de tanımlanmaz , şu şekilde ayarlanır 0:fs.proc_can_see_other_uid=0.
Bu parametreyi ayrıca /etc/sysctl.conf dosyasını açın ve ardından sysctl -p komut.
hidepid parametresi temel alınarak ayarlanır fs.proc_can_see_other_uid otomatik olarak parametre değeri lve_namespaces hizmet başlangıcı (yani lve-utils paket kurulumu ve sunucu önyüklemesi).
Kontrol panelini CloudLinux ile entegre etme
Yönetici eklemek için aşağıdaki komutu çalıştırın. proc_super_gid grup (panel yöneticisi bir kök kullanıcı değilse veya birkaç yönetici varsa):
/usr/share/cloudlinux/hooks/post_modify_admin.py create --username <admin_name>
Not
Bu yönetici bir sistem kullanıcısı olarak var olmalıdır.
Bu komut ayrıca belirli bir yönetici ekler. clsudoers grup, bu nedenle LVE Manager yöneticisinin eklentisi düzgün çalışıyor.
Bu komut, yönetici kullanıcıyı sisteme ekledikten sonra kontrol panelinin çağırması gereken bir kancadır.
Eğer yöneticileri yüklerken liste komut dosyasının varlve-utilspaketin ardından mevcut yöneticiler otomatik olarak işlenecektir. Komut dosyası yoksa, her yönetici için yukarıda belirtilen komutu çalıştırmalısınız.
Symlink koruması
CloudLinux çekirdeklerinde symlink saldırıları koruması vardır. Bu koruma etkinleştirildiğinde, sistem kullanıcıların var olmayan / kendi dosyalarına değil sembolik bağlar (ve sabit bağlantılar) oluşturmasına izin vermez.
Burada tüm koruma mekanizması parametrelerini bulabilirsiniz.
Ayrıca bakınız: web sunucusunu korumak için özel modül .
Koşabilirsin cldiag ile yardımcı --check-symlinkowngid web sunucusu koruma mekanizmalarınızın doğru kurulup kurulmadığını kontrol etmek için parametre.
# cldiag --symlinksifowner
Check fs.enforce_symlinksifowner is correctly enabled in sysctl conf:
OK: fs.enforce_symlinksifowner = 1
There are 0 errors found.
# cldiag --check-symlinkowngid
Check fs.symlinkown_gid:
OK: Web-server user is protected by Symlink Owner Match Protection
There are 0 errors found.
- Sembolik bağlantı geçiş koruması varsayılan olarak devre dışıdır.
- Symlink sahibi eşleşme koruması varsayılan olarak etkindir.
Sembolik bağlantı koruması nasıl etkinleştirilir
Yı kur symlinkown_gid web sunucusu işleminin GID grubunun değeri için parametre.
Sembolik bağlantı korumasını etkinleştirmeden önce, kontrol paneli işlevselliğini bozmadığından emin olun.
Örneğin, ayrıcalıklı olmayan bir kullanıcının sahip olmadığı dosyalara veya dizinlere sembolik bağlantılar veya sabit bağlantılar oluşturmasına izin verilirse, sembolik bağlantı geçiş korumasını etkinleştirirken bunu yapamayacaktır.
Ayrıcalığı olmayan bir kullanıcının böyle bir sembolik bağ veya sabit bağlantı oluşturmasına izin vermek için, sembolik bağın başvurduğu bir dosya / linksafe grubu.
Dosya sistemi kotaları
CloudLinux OS yardımcı programlar (bazıları cagefsctl, selectorctl, cloudlinux-selector, vs) bu kullanıcı adına Kullanıcının ana dizinine dosyaları yazar.
Dolayısıyla, kullanıcı için ayarlanmışsa disk kotalarına tabidirler. Yardımcı programlar, hataları önlemek için bu kotaları geçersiz kılabilir. Bu izinleri kontrol eden çekirdek parametreleri için Dosya sistemi kotaları’na bakın . Bu parametre yalnızca XFS dosya sistemi için kullanılır.
Kaynak: https://docs.cloudlinux.com/control_panel_integration/#cloudlinux-kernel-set-up
