 |
السلام عليكم،
كثير من المهتمين بحماية السيرفرات ينصحون بتفعيل الـ phpsuExec.
سؤالي: ما هي إيجابيات هذه الإضافة؟ أقصد، ما الذي تقوم به الضبط.
والسؤال الثاني: هل هناك سلبيات لهذه الإضافة؟ أي: عند تفعيل هذه الإضافة هل هناك برامج PHP معينة لا تعمل؟ هل هناك حل معين لتجاوز هذه السلبيات في حالة تواجدها؟
ودمتم بخير.
وعليكم السلامالمشاركة الأصلية كتبت بواسطة mshs
باختصار
ال PHPSUEXEC يفضل البعض تفعيلها لانها تحد من قدرات مخترق الموقع ولا تجعله يستطيع التنقل بين المواقع الأخرى
ولكن بتشغيل ال PHPSUExec يستطيع المخترق وضع ملف php.ini جديد باعدادات اخرى
وذلك قد يعرض السيرفر لإختراق داخلي اذا كان هناك Local root لخدمة على السيرفر او للكيرنل
__________________
متخصصون في ادارة السيرفرات والدعم الفني على مدار الساعة ومن عملائنا:
http://www.arabhosters.com/customers.html
صفحتنا على فيس بوك
https://www.facebook.com/arabhosters
السلام عليكم ورحمة الله وبركاتة
الفرق الرئيسي بين التنصيب الاعتيادي للـphp او التنصيب مع phpsuexce
انه في حالة phpsuexce كل السكربتات سوف تعمل تحت الID لصاحب الموقع
بمعنى ان الـprocess أو العملية ستكون مملوكة له بخلاف الطريقه العادية واللتي تكون مملوكة للnobody
وسوف يكون الفرق كالاتي :-
1-فصل ملفات المستخدمين وعزلها حيث في حالة عدم تفعيل الـopenbasedir بالحالة الاولى يمكن للمستخدمين قرائه الملفات الموجوده على المواقع الاخرى
عموما هذه تنحل طبعا مثل ما قلنا بالـopenbasedir + safe mode لكن المشكله تكمن عند ضهور ثغره تتخطى هذه الحماية بالـphp
2-ثاني شيء التصاريح
بحالة phpsuexce تقدر تلعب بالتصاريح على كيفك
يعني مثلا تحطها 600 والزوار يزوروا الموقع بدون مشاكل والشي الاخر ان المجلدات ذات التصريح 777 لن تعمل وسوف تعطيك internal server erorr
3-كل شي خاص بالphp والذي كنت تقوم بتغييره عن طريق ملف الـ.htaccess يجب عليك وضعه داخل ملف php.ini بالمجلد الرئيسي لموقعك مثل تفعيل الregister_Globals او الـmagic_quotes_gpc
عموما هذه هي الفروق الرئيسية بين الطريقتين
واحدى مميزات الـphpsuexce انك سوف تتمكن من ملاحقه السبام بشكل افضل في حالة معاناتك من هذه المشكلة
وميزة اخرى هي حل مشكلة التعارض مع الـownership مع بعض السكربتات
وواحدة من المميزات الاخرى ان كل الاوامر اللتي تطبق يجب ان تكون على المجلدات تحت الـpublic_html
مما يرفع مستوى الحماية للنظام
لكن في بعض العيوب فيها بعد :court:
اولا بالنسبة لكلام الاخ العزيز Arabhosters.com ما اضن ان ملف الـ php.ini يشكل خطورة فعلية
خاصة ان ملفات الphp ستكون معزولة بغض النظر عن اعدادات الملف
لكن العيب الاكبر من وجهة نظري ان المخترق لو رفع شل مثلا سواء عن طريق مركز رفع او عن طريق ثغره file include بيكون عنده الصلاحيات الكاملة على ملفات الموقع
من حذف وخلافة وهذا طبعا مش ممكن لو كان الphp تعمل في حالة nobody الا اذا كانت تصاريح الملفات 777
بعد هالكلام كلة
لو كنت تريد تفصل اليوزرات عن بعضهم لأقصى حد ممكن وتحل مشاكل السبام ركب phpsuexcu
لو كنت تريد تحمي ملفات العملاء وتقلل مشاكل حذف الملفات خاصة لو ما كان في باك اب على السيرفر
اشتغل بدون phpsuexcu طبعا مع عدم اهمال طرق الحماية المعروفة الاخرى
هذا والله اعلم
سلااااااااااام
شكرًا لكما على إفادتكما الرائعة. بارك الله في علمكما.
جزاك الله خير أخي العزيز على الشرح المفصل
عند تفعيل ال phpsuexec عند اختراق الموقع يكون للمخترق كامل الصلاحية فى التحكم بالموقع
بالنسبة لنقطة ال php.ini
من رأيي انها تشكل خطر كبير على السيرفر
لانه اذا فيه ثغرة local root بيقدر يشغلها اعتمادا على دالة مثل system ,exec
بيقدر المخترق يتحكم بالسيرفر تحكم كامل
بارك الله فيك ونتمني تكون استفدتشكرًا لكما على إفادتكما الرائعة. بارك الله في علمكما.
__________________
متخصصون في ادارة السيرفرات والدعم الفني على مدار الساعة ومن عملائنا:
http://www.arabhosters.com/customers.html
صفحتنا على فيس بوك
https://www.facebook.com/arabhosters
نعم اخي Arabhosters.com
كلامك صحيح
تحت الخدمه
السلام عليكم و رحمة الله و بركاته
تفضل .. هذه مقاله مفيده جداً و تشرح ال PHPSuexec .. و مقارنه بين تشغيل ال PHP كأباتشي موديول .. و تشغيل ال PHP ك CGI موديل
http://www.hostmagik.info/phpsuexec.php
تقبل تحياتي ،،
__________________
أسم الشركه : سـيــــــرف مـيـكــــس لخدمات الـويـب
أداء الشركه : ( برمجة - السيرفرات - الريسيلرات - الاستضافة - الحماية )
بريد الشركه : Info@ServMix.com
شركة رسمية - سجل تجاري رقم : 56132
ضوابط المشاركة
رد مع اقتباس