ציטוט:
נכתב במקור על ידי yonatan
הפתרון ל"חור אבטחה" שאתה מציג הוא באמת להריץ memcahed נפרד לכל אתר.
כדי לעשות את זה בצורה יעילה ופשוטה מומלץ על שרת VPS נפרד לכל MEMCACHED.
אפשרות יותר מורכבת אם אתה רוצה להתנסות:
אפשר לעשות את זה גם ב jailed shell לכל משתמש להריץ memcached על פורט נפרד או איפי פנימי נפרד לכל אתר.
לדוגמא:
http://www.ducea.com/2008/01/11/securing-memcached/
עכשיו הרעיון שזה יהיה מאובטח באמת, צריך להוסיף SELINUX
setsebool -P httpd_can_network_memcache 1
ולדאוג שכל משתמש יריץ את php תחת המשתמש שלו, כך הם לא יוכלו לצאת לתהליך memcached אחד של השני. |
תודה רבה יונתן !
אבל זה מבחינת השרת לא מבחינת תכנותית.. ז"א שאם מחר אני מוכר את המערכת שלי לשני לקוחות שנמצאים על אותו שרת שלי אין גישה אליו.. ועל השרת מותקן memcached בצורה רגילה..
עדיין זה לא יהיה מאובטח במערכת שלי.. ז"א כאילו נפתח חור אבטחה במערכת שאני בונה בעקבות הקאש הזה..
אז אני צריך פתרון תכנותי ולא שרתי.. יש פתרון כזה? או שזה פשוט בלתי אפשרי?
24-11-13, 21:02
תצורת אשכולות