Вопросы безопасности серверов взято отсюда: https://lleo.me/dnevnik/2024/12/03Волею судеб по работе я распоряжался сервером со всякими проектами — там жили всякие демо-сайты, проекты в разработке, зоопарк демок онлайн-магазинов, к которым мы писали плагины, всевозможные демо-ноды, бэкенды и еще куча сайтов и сервисов, заодно lleo.me. И вот не было печали — решил я сделать всё наконец грамотно и безопасно:
— завел каждому сайту собственного юзера;
— завел каждому сайту, что использует PHP, изолированный php-fpm-сокет;
— выставил правильные права на все папки 770 и правильные группы (пришлось скриптик написать), чтобы никому ничего чужого не было доступно при всем желании;
— запретил в php доступ к чужим папкам, только к собственной и /tmp (пришлось повозиться, попатчить пару моих сайтов и магазинов, которые лезли тестировать существование запрещенных им ныне папок типа "/";
— ну а пользователи MySQL и раньше были у всех отдельные;
— всем остальным пользовтелям оставил только ограниченные права, логин только по ключу;
— вычистил из .ssh/authorized_keys все непонятные и древние ключи типа моего старого ноутбука (нахера он?), оставил только свой комп, ну и ключи вышестоящего админа компании, который мне этот сервер выделял;
( Read more... )