Игорь Олемской — практические заметки по системному администрированию Linux CentOS

Немного о безопасности сервера при использовании такой относительно популярной панели как Directadmin.

Совсем недавно этот своеобразный набор софта стал причиной взлома нескольких клиентских серверов.

При установке Directadmin, вне зависимости от ваших ответов, ставит в /var/www/html целый ряд индийского быдлокода, который является бомбой замедленного действия:

ls -l /var/www/html
-rw-r--r--  1 root    root       44 Jul 29  2010 index.html
lrwxrwxrwx  1 root    root       44 Jul 29  2010 phpMyAdmin -> /var/www/html/phpMyAdmin-3.3.5-all-languages
drwxr-xr-x 11 webapps webapps  4096 Jul 29  2010 phpMyAdmin-3.3.5-all-languages
lrwxrwxrwx  1 root    root       19 Jul 29  2010 roundcube -> roundcubemail-0.3.1
drwxr-xr-x 10 webapps webapps  4096 Jul 29  2010 roundcubemail-0.3.1
lrwxrwxrwx  1 root    root       19 Jul 29  2010 squirrelmail -> squirrelmail-1.4.21
drwxr-xr-x 16 webapps webapps  4096 Jul 19  2010 squirrelmail-1.4.21

Все это (и phpmyadmin и squirrelmail и roundcube) славится обилием публичных эксплойтов, то и дело появляющихся с выходом новых версий.

Примечательно что в дефолтных опциях он еще пополняет этот список такими вещами как Atmail и неведомой хренью с доставляющим названием UebiMiau.

Кроме того, дефолтный DocumentRoot апача смотрит в /var/www/html/, а значит весь этот потенциально дырявый софт очень удобен… для сканеров уязвимостей:

bash# HEAD http://1.2.3.4/roundcube/
200 OK
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Connection: close
Date: Mon, 28 Feb 2011 23:14:00 GMT
Pragma: no-cache
Server: Apache/2
Vary: Accept-Encoding,User-Agent
Content-Type: text/html; charset=UTF-8
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Client-Date: Tue, 01 Mar 2011 03:12:00 GMT
Client-Response-Num: 1
Set-Cookie: roundcube_sessid=e5057173542fd5756ff78e1a9a4615b9; path=/
X-Powered-By: PHP/5.2.14

Короче говоря, ваш сервер стоит просто и ждет пока его сломает самый ленивый бот, не говоря уже о профессиональном хакере.

Что делать?

Вариант 1.

rm -rf /var/www/html/*

Вариант 2.
В /etc/httpd/conf/httpd.conf найти и заменить

<Directory /var/www/html>
...
--   Allow from all
++ Deny from all

А лучше оба вариант сразу.

Другой отличительной особенностью Directadmin является сервер FTP Proftpd. Создатели этого чудо-сервера так же отличаются широкими познаниями в написании безопасного софта, работающего под рутом с открытым портом.

По указанной ссылке красуется уязвимость, дающая злоумышленнику рутовый доступ при отправлении специального пакета.

По этому за proftpd так же нужен глаз да глаз. Делается это примерно так

cd /usr/local/directadmin/custombuild
./build update
./build proftpd

После апдейта нужно проверить не доставил ли он в /var/www/html вакханалию, упомянутю в начале статьи и в случае положительного результата, снести.

Так же в последних версиях DirectAdmin был замечен FTP сервер Pure-FTPd. Рекомендую выпилить Proftpd и запилить Pure-FTPd.

Let's go ahead and get this out of the way: The following post contains only my personal opinions. These are not the opinions of my employer and should not be considered as such.

The term «cloud hosting» has become more popular over the past few years and it seems like everyone is talking about it. I'm often asked by customers and coworkers about what cloud hosting really is. Where does traditional dedicated hosting end and cloud begin? Do they overlap? Who needs cloud and who doesn't?

You can't talk about cloud hosting without defining it first. When I think of «cloud», these are the things that come to mind:

• quickly add/remove resources with little or no lead time
• hosting platforms that allow for quick provisioning of highly available systems
• self-service adjustment of tangible and intangible resources that normally require human intervention

That list may seem a bit vague at first, but try to let it sink in just a bit. Hosting applications in a «cloud» shouldn't mean that you must have a virtual instance running on Xen, KVM or VMWare, and it shouldn't mean that you must have an account with Rackspace Cloud, Amazon EC2, or Microsoft Azure. It means that your hosting operations are highly automated and you can rapidly allocate and deallocate resources for the requirements of your current projects.

Consider this: a customer of a traditional dedicated hosting provider decides to take their applications and host them on one VPS at a leading commercial provider. That provider allows the customer to spin up new VM's in a matter of minutes and re-image the VM's whenever they like. Is that cloud hosting? I'd say yes — even if it's one single virtual instance. That customer has moved from a hosting system with manual interventions and extended lead times to a system where they have instant control over their resources.

It's not possible to talk about what cloud is without talking about what it isn't.

• Cloud is not infinitely scalable. If any provider ever claims that their solution is «infinitely scalable», you should be skeptical. Regardless of the provider, everyone eventually runs out of datacenter space, servers, network bandwidth, or power. (If you know of a provider that is infinitely scalable, please let me know as I'd love to see their facilities and review their supply chain.)
• Cloud isn't right for everybody. Some applications have demands that cloud hosting might not be able to meet (yet). If an application depends on proprietary hardware that is difficult to virtualize or rapidly allocate, cloud hosting is probably not the answer for that particular application.
• Cloud doesn't mean VPS. VPS doesn't mean cloud. As I said before, having a virtual private server environment is not a pre-requisite for cloud hosting. Also, not all VPS solutions fit my definition of cloud as they don't allow for rapid deployments and resource adjustments.

It's important to remember that cloud hosting is a marketing term. As for the technology of cloud, it's what you make of it. You should be looking to reduce costs, solidify availability and increase performance every day. If the ideals of cloud hosting help you do that, it might be the right option for you.

A nerd's perspective on cloud hosting is a post from: Major Hayden's Racker Hacker blog.

c0b6ad7e-f251-11df-b20b-4040336e00ef

http://www.hetzner.de/en/hosting/produktmatrix/rootserver-produktmatrix/

Наблюдается стремительный спад цен на аренду серверов. К примеру, уже сейчас KeyWeb предлагает Core2Duo 2×1,8 GHz / 2 Gb RAM / 2×320 Gb SATA HDD за 49 EUR в месяц.
Правда, сервер размещается в немецком дата-центре, но для многих это вряд ли будет заметно.

http://www.keyweb.ru/hosting/dedicated.html

Ждем ответа от российских хостеров!

Вышла моя статья на ресурсе Master-X на тему VDS хостинга и его преимуществах.

Статья доступна здесь: http://www.master-x.com/articles/article/438/