Производство фотообоев в Новосибирске. Интернет магазин фотообоев. Изготовление - один день! Каталог 10 000 изображений!
31 Январь 2014

Битрикс — несколько сайтов на хостинге. Разграничение доступа.

posted in Bitrix, security |

Собственно, снова словил горький опыт по вырезанию вредоносного кода СРАЗУ на всех сайтах хостинга (изначально — официальная виртуальная машина Битрикс VM).
А беда вот в чём — допустим у меня прижилось 20 сайтов на виртуалке (под каждый делать виртуалку — жесть), каким то неизвестным мне образом на одну из виртуалок попадает троян в виде иньекции в php скрипт (или непосредственно сам скрипт) с возможностью запуска от пользователя Bitrix.
И на этом ВСЁ! Скрипт получает доступ абсолютно ко всем сайтам на данной виртуалке, т.к. все они с правами bitrix …
Сам себе закинул WSO — и осознал всю горечь происходящего.
Запереть аппач в root директории сайта возможности нет… ЧТО ДЕЛАТЬ?

Ну и придумал такой вариант:
1. На папки с конфигурационными файлами убираем доступ на чтение всем и группе (/etc/nginx/ и /etc/httpd/ )
2. Каждый сайт создавать с папке с уникальным именем, вроде 235hjhjfdsu
Получится такая структура:
/www/235hjhjfdsu/site1.ru/
/www/345o44jkre2/site2.ru/
/www/345fgmkj324/site3.ru/
На www и на «левые» папки — так же убираем доступ на чтение всем и группе (/etc/nginx/ и /etc/httpd/ )

Таким образом находясь в root директории сайта «вычислить» директории других сайтов под пользователем Битрикс не получится.

P.S.
В идеале аппач должен работать в рутовой папке сайта от имени пользователя, созданного для этого сайта!
Но как это реализовать я пока не нашел. 🙁

У нас один комментарий на запись “Битрикс — несколько сайтов на хостинге. Разграничение доступа.”

Почему бы Вам не высказать своем мнение! Позвольте нам узнать, что Вы думаете...

  1. 1 On 07.11.2014, Битрикс — безопасность при многосайтовости. Запираем сайты в своих папках » Блог GTAlex – о работе в сети и не только said:

    […] продолжение моей же статьи Битрикс — несколько сайтов на хостинге. Разграничение… Итак, незнаю почему я в прошлой статье и вообще на […]

Оставить комментарий