ציטוט:
נכתב במקור על ידי MAORBARI
אבל כל אחד יכול להצמיד את שם האתר של האחר.. זה חתיכת חור אבטחה!!
יונתן אחי תקרא בהודעה הראשונה ותבין מה הבעיה שאני מדבר עליה.. תודה!
|
הפתרון ל"חור אבטחה" שאתה מציג הוא באמת להריץ memcahed נפרד לכל אתר.
כדי לעשות את זה בצורה יעילה ופשוטה מומלץ על שרת VPS נפרד לכל MEMCACHED.
אפשרות יותר מורכבת אם אתה רוצה להתנסות:
אפשר לעשות את זה גם ב jailed shell לכל משתמש להריץ memcached על פורט נפרד או איפי פנימי נפרד לכל אתר.
לדוגמא:
http://www.ducea.com/2008/01/11/securing-memcached/
עכשיו הרעיון שזה יהיה מאובטח באמת, צריך להוסיף SELINUX
setsebool -P httpd_can_network_memcache 1
ולדאוג שכל משתמש יריץ את php תחת המשתמש שלו, כך הם לא יוכלו לצאת לתהליך memcached אחד של השני.
24-11-13, 20:37
תצורת אשכולות