একাধিক সাইট হোস্টিং - একে অপরের থেকে সাইটগুলি সুরক্ষিত করার জন্য গুরুত্বপূর্ণ দুর্বলতা মিস হচ্ছে?


9

সম্পাদনা # 2 জুলাই 23, 2015: একটি নতুন উত্তর খুঁজছেন যা নীচে সেটআপে মিস হওয়া একটি গুরুত্বপূর্ণ সুরক্ষা আইটেমটি সনাক্ত করে বা সমস্ত কিছুর আচ্ছাদন বিশ্বাস করার কারণ দিতে পারে।

সম্পাদনা # 3 জুলাই 29, 2015: আমি বিশেষত একটি সম্ভাব্য ভুল কনফিগারেশনের সন্ধান করছি যেমন অনাচ্ছাকৃতভাবে এমন কোনও অনুমতি দেওয়া যা সুরক্ষা বিধিনিষেধ আরোপের জন্য ব্যবহার করা যেতে পারে বা আরও খারাপ কিছু খোলা রেখে worse

এটি মাল্টি-সাইট / শেয়ার্ড হোস্টিং সেটআপ এবং আমরা একটি শেয়ার্ড অ্যাপাচি উদাহরণ ব্যবহার করতে চাই (অর্থাত্ একটি ব্যবহারকারীর অ্যাকাউন্টের অধীনে চলে) তবে কোনও ওয়েবসাইট অন্য সাইটের ফাইল অ্যাক্সেস করতে না পারে তা নিশ্চিত করার জন্য প্রতিটি ওয়েবসাইটের ব্যবহারকারী হিসাবে পিএইচপি / সিজিআই চলছে and নিশ্চিত হয়ে নিন যে কোনও কিছুই মিস করা যাচ্ছে না (যেমন, যদি আমরা সিমলিংক আক্রমণ প্রতিরোধ সম্পর্কে জানতাম না)।

আমার এখন পর্যন্ত যা আছে তা এখানে:

  • নিশ্চিত করুন যে পিএইচপি স্ক্রিপ্টগুলি ওয়েবসাইটের লিনাক্স ব্যবহারকারী অ্যাকাউন্ট এবং গোষ্ঠী হিসাবে চালিত হয়েছে এবং কারাগারে রয়েছে (যেমন কেজএফএস ব্যবহার করে) অথবা লিনাক্স ফাইল সিস্টেমের অনুমতি ব্যবহার করে কমপক্ষে সঠিকভাবে সীমাবদ্ধ রয়েছে।
  • সিগআই স্ক্রিপ্টগুলি অ্যাপাচি ব্যবহারকারী হিসাবে চালানো যাবে না তা নিশ্চিত করতে suexec ব্যবহার করুন।
  • যদি সার্ভার-সাইডের প্রয়োজনে সহায়তা অন্তর্ভুক্ত থাকে (যেমন shtml ফাইলগুলিতে), Options IncludesNOEXECআপনি যখন প্রত্যাশা করবেন না তখন সিজিআই চালানো থেকে বিরত রাখতে ব্যবহার করুন (যদিও সেক্সেক্স ব্যবহার করে এটি উদ্বেগের মতো বেশি হওয়া উচিত নয়)।
  • জায়গায় সিমলিংক আক্রমণ সুরক্ষা রাখুন যাতে কোনও হ্যাকার অপাচাকে অন্য ওয়েবসাইটের ফাইলগুলি সরলখরূপ হিসাবে পরিবেশন করতে এবং ডিবি পাসওয়ার্ডের মতো শোষণীয় তথ্য প্রকাশে চালিত করতে না পারে।
  • শুধুমাত্র কোনও নির্দেশনা যা হ্যাকার শোষণ করতে পারে না তা মঞ্জুরি দেওয়ার জন্য কনফিগার করুন AllowOverride/ করুন AllowOverrideList। আমি মনে করি যে উপরের আইটেমগুলি সঠিকভাবে করা গেলে এটি উদ্বেগের দিক থেকে কম নয়।

আমি এমপিএম আইটিকে সাথে যাব যদি এটি এত ধীর না হত এবং মূল হিসাবে চালিত না হত তবে আমরা বিশেষভাবে একটি ভাগ করে নেওয়া অ্যাপাচি ব্যবহার করতে চাইছি তবে এটি নিশ্চিত হয়ে নিন যে এটি নিরাপদে হয়েছে make

আমি http://httpd.apache.org/docs/2.4/misc/security_tips.html খুঁজে পেয়েছি তবে এটি এই বিষয়টিতে ব্যাপক নয়।

যদি এটি জানার জন্য সহায়ক হয় তবে আমরা কেজএফএস এবং মোড_সালাপির সাথে ক্লাউডলিনাক্স ব্যবহার করার পরিকল্পনা করছি।

নিশ্চিত করার বা নিশ্চিত করার মতো আরও কিছু আছে কি?

20 জুলাই, 2015 সম্পাদনা করুন: লোকেরা কিছু ভাল বিকল্প সমাধান জমা দিয়েছে যা সাধারণভাবে মূল্যবান, তবে দয়া করে মনে রাখবেন যে এই প্রশ্নটি কেবল ভাগ করা অ্যাপাচি সেটআপের সুরক্ষা সম্পর্কিত regarding বিশেষত উপরে এমন কিছু আছে যা কোনও সাইটের উপরে অন্য সাইটের ফাইলগুলিতে অ্যাক্সেস করতে বা অন্য সাইটগুলিকে কোনওভাবে আপস করতে দেয়?

ধন্যবাদ!


অপেক্ষা করুন তাই না আপনি শেল_এক্সেকের মতো কমান্ডগুলি অবরুদ্ধ করছেন না
মাইকেল বেইলি

বা বরং ফাংশন। কমান্ড না।
মাইকেল বেইলি

1
সঠিক - আমরা এই আদেশগুলি অবরুদ্ধ করছি না। যেহেতু কেজএফএস পিএইচপিকে এত উচ্চ ডিগ্রি থেকে বিচ্ছিন্ন করে, গভীরতা পদ্ধতির প্রতিরক্ষার অংশ হিসাবে এই ধরনের কমান্ড সীমাবদ্ধ করা উপযুক্ত বলে মনে হয় না যে আমরা তাদের বৈধ উদ্দেশ্যে কখনও কখনও ব্যবহার করি। সার্ভারটি যদি হ্যাকারগুলির পক্ষে উচ্চ মানের টার্গেট হত (যেমন সঞ্চিত ক্রেডিট কার্ডের ডেটা বা এর মতো কিছু), তবে সুবিধাগুলি ত্রুটিগুলি ছাড়িয়ে যেতে পারে, তবে আমাদের ক্ষেত্রে আমি মনে করি না এই বিধিনিষেধটি সুনিশ্চিত হয়েছে। এটি সেই লোকদের জন্য অবশ্যই বিবেচ্য বিষয় যাঁরা কেজএফএস বা কিছু সমমানের সমাধান ব্যবহার করছেন না।
sa289

1
দুঃখের বিষয় যদিও আপনি সিপ্যানেলের কারণে ভাল উত্তর ছাড় করেছেন - বাকিটি ইতিহাস।
ব্যবহারকারী 9517

2
আমি যে উত্তরগুলিকে "ছাড়" দিয়েছি তার সংক্ষিপ্তসার এখানে। প্রতি সাইট বা ডকার পাত্রে উত্সর্গীকৃত অ্যাপাচি - আরও উত্সর্গীকৃত পাবলিক আইপি বা বিপরীত প্রক্সি যুক্ত জটিলতার প্রয়োজন। সেলিনাক্স - প্রয়োগের মোডে সেলিনাক্স কনফিগার করা এবং চালনা প্রয়োজন। ভিএম - একটি নন-ভিএম সেটআপের জন্য অতিরিক্ত সিস্টেম সংস্থান প্রয়োজন। আমি মনে করি এগুলি সবই ভাল সমাধান, আমি যেসব ঘাটতি রেখেছিলাম তার পরিবর্তে নয় with
sa289

উত্তর:


9

আপনার এতদূর থাকা আইটেমগুলির সাথে আমি সম্পূর্ণ সম্মত।

আমি কয়েক বছর আগে এই জাতীয় মাল্টি-ব্যবহারকারী সেটআপ চালাতাম এবং আমি মূলত একই ট্রেড অফ পেয়েছিলাম: Mod_php দ্রুত (আংশিক কারণ সমস্ত কিছু একই প্রক্রিয়াটির অভ্যন্তরে চলে) এবং সেক্সেক ধীর হলেও সুরক্ষিত (কারণ প্রতিটি অনুরোধ একটি নতুন আবেদন করে প্রক্রিয়ার মধ্যে)। আমি suexec সঙ্গে গিয়েছিলাম, কারণ ব্যবহারকারী বিচ্ছিন্নতা প্রয়োজন ছিল।

বর্তমানে আপনি একটি তৃতীয় বিকল্প বিবেচনা করতে পারেন: প্রতিটি ব্যবহারকারীকে তাদের নিজস্ব পিএইচপি-এফপিএম ডেমন দিন। এটি সম্ভাব্য কিনা তা ব্যবহারকারীর সংখ্যার উপর নির্ভর করে, কারণ তাদের প্রত্যেককেই তাদের ব্যবহারকারীর অ্যাকাউন্ট ব্যবহার করে কমপক্ষে একটি পিএইচপি-এফপিএম প্রক্রিয়া পেতে হবে (অনুরোধের জন্য স্কেল করার জন্য ডিমনটি প্রিফার্কের মতো প্রক্রিয়া ব্যবহার করে, তাই প্রক্রিয়া সংখ্যা এবং তাদের মেমরির ব্যবহার সীমিত কারণ হতে পারে)। আপনার কিছু অটোমেটেড কনফিগার জেনারেশনও লাগবে, তবে এটি কয়েকটি শেল স্ক্রিপ্টগুলির সাথে কার্যকর হবে।

আমি বড় পরিবেশে সেই পদ্ধতিটি ব্যবহার করি নি তবে আইএমএইচও যা এখনও প্রক্রিয়া স্তরের ব্যবহারকারীদের বিচ্ছিন্ন করার সময় ভাল পিএইচপি ওয়েবসাইটের কার্যকারিতা সরবরাহ করার জন্য একটি ভাল সমাধান।


আমি ভুল হলে আমাকে সংশোধন করুন, তবে আমি মনে করি যে পিএইচপি-র জন্য আমরা ইতিমধ্যে যে মোড_লাস্পি + কেজএফএস সমাধানটি নিয়ে যাওয়ার পরিকল্পনা করছি তা পিএইচপি-এফপিএমের চেয়ে ভাল না হলেও কম? ধন্যবাদ
sa289

মোড_সালাপির সাথে আমার কোনও অভিজ্ঞতা নেই এবং কোনও বদ্ধ উত্সের একক বিক্রেতার সমাধানের উপর ভরসা রাখার সংরক্ষণগুলি থাকতে হবে। তবে এর বিজ্ঞাপন পৃষ্ঠা অনুযায়ী এটি ঠিক তত ভাল এবং তত দ্রুত হওয়া উচিত, হ্যাঁ। - আমি একটি বিষয় যা আমি দেখতে চাই তা হল এটি কীভাবে নতুন প্রক্রিয়া তৈরি করে (নতুন অনুরোধের ভিত্তিতে) এবং এটি কীভাবে তাদের কার্যকর ব্যবহারকারী আইডিটিকে ব্যবহারকারীর পরিবর্তিত করে। সুরক্ষার বিষয়ে যা দুর্বলতম বিষয়; স্যেক্সেক ডকুমেন্টেশনের সন্ধানের জন্য জিনিসগুলির একটি ভাল ব্যাখ্যা রয়েছে।
মিসচিউট

আমি মনে করি বন্ধ বা উন্মুক্ত উত্স হিহলে বিশ্বাস না করার কারণ রয়েছে (শেলশক আবিষ্কার করতে 25 বছর সময় নিয়েছে, হৃদয়যুক্ত 2 বছর, এবং ট্রুক্রিপ্ট সম্পর্কে কে জানে)। ভাগ্যক্রমে আমি মনে করি মোড_লাস্পি লাইটস্পিডের ওপেন সোর্স অফারের চারপাশে ভিত্তি করে গড়েছে তাই এতে কমপক্ষে দু'জন বিক্রেতারা এর কয়েকটি দেখেছেন, এবং যে কেউ ওপেন সোর্স কোডটি এর উপর ভিত্তি করে দেখতে চান। আমি বিশেষত প্রস্তাবিত সেটআপে হারিয়ে যাওয়া যে কোনও মূল সুরক্ষার বিষয়গুলি খুঁজছি (যেমন পিএইচপি সাইটের ব্যবহারকারীরূপে চালিত করতে পারে তবে সিজিআই স্ক্রিপ্টগুলির জন্য সুেক্সেক সম্পর্কে ভুলে যাচ্ছি)। ধন্যবাদ
sa289

আমরা এই পদ্ধতিটি ব্যবহার করছি (পিএইচপি-এফপিএম সহ ওয়েবসার্ভার) বেশ বড় আকারের ওয়েবসাইটগুলিতে (যেখানে ওয়েবসভার ফার্মটি লোড-ব্যালেন্সারের মাধ্যমে পিএইচপি-এফপিএম ফার্মের সাথে সংযুক্ত হয়)। ভার্চুয়াল হোস্টগুলি ওএস স্তরে পৃথক করা হয় এবং এই সীমানাটি সহজেই পরিস্রাবিত হয় না এমন একটি কনফিগারেশনের সৌন্দর্য (কেবলমাত্র নিশ্চিত হয়ে নিন যে ভার্চুয়াল হোস্টের হোম ডিরেক্টরিতে ভোস্ট ব্যবহারকারীর মালিকানা এবং ওয়েব সার্ভার প্রক্রিয়াটির গ্রুপের সাথে 0710 এর মত অনুমতি রয়েছে) , তবে এটি যথাযথ অনুমতিের বিষয় - যদি কোনও ফাইল বিশ্ব পঠনযোগ্য হয় তবে এটি ওয়েব সার্ভারে অ্যাক্সেসযোগ্য হবে)
গ্যালাক্সি

4

আপনার এখন পর্যন্ত যা কিছু আছে তা ভালভাবে চিন্তা করে মনে হচ্ছে। সমস্যা হিসাবে আমি কেবল দেখতে পাচ্ছিলাম এটি হ'ল বেশিরভাগ শোষকরা একরকম বা অন্য কোনও উপায়ে রুট অ্যাক্সেস অর্জন করার চেষ্টা করে। সুতরাং এমনকি যদি প্রতিটি সাইট এবং এর সাথে সম্পর্কিত প্রসেস এবং স্ক্রিপ্টগুলি সঠিকভাবে জেল হয়ে থাকে এবং প্রত্যেকটির নিজস্ব ব্যবহারকারী থাকে এবং মূলের সাথে কোনও হ্যাকার কম যত্ন নিতে না পারে তবে তারা আপনার সেটআপ করা সমস্ত কিছুকেই পাশ কাটাবে।

আমার পরামর্শটি হ'ল প্রতিটি সাইটের নিজস্ব ওএস জেল দেওয়ার জন্য কিছু প্রকার ভিএম সফটওয়্যার (ভিএমওয়্যার, ভার্চুয়ালবক্স, কেমু, ইত্যাদি) ব্যবহার করা হবে। এটি আপনাকে সিস্টেম অ্যাডমিন হিসাবে একক আপোসযুক্ত সাইটের বিষয়ে চিন্তা না করার অনুমতি দেয়। কোনও হ্যাকার যদি কোনও সাইটের ভিএম-তে পিএইচপি (বা অন্য কোনও সফ্টওয়্যার) শোষণ করে রুট লাভ করে তবে কেবল ভিএমকে বিরতি দিন এবং পরে এটি ছড়িয়ে দিন, সংশোধনগুলি প্রয়োগ করুন বা অখণ্ড অবস্থায় ফিরে যেতে পারেন। এটি সাইটের প্রশাসকদের তাদের নির্দিষ্ট সাইট পরিবেশে (যা অন্য কোনও সাইটকে ভেঙে ফেলতে পারে) নির্দিষ্ট সফ্টওয়্যার বা সুরক্ষা সেটিং প্রয়োগ করার অনুমতি দেয়।

এর একমাত্র সীমাবদ্ধতা হ'ল আপনার হার্ডওয়্যার তবে একটি শালীন সার্ভার এবং সঠিক কার্নেল এক্সটেনশনগুলির সাথে এটি মোকাবেলা করা সহজ। আমি লিনোডে এই ধরণের সেটআপটি সফলভাবে চালিয়েছি, হোস্ট এবং অতিথি উভয়ই খুব বিরল। আপনি যদি মনে করি যে কমান্ড লাইনের সাথে যদি আপনি স্বাচ্ছন্দ্য বোধ করেন তবে আপনার কোনও সমস্যা হওয়া উচিত নয়।

এই ধরণের সেটআপ আপনাকে নিরীক্ষণ করতে হবে এমন আক্রমণকারীর ভেক্টর সংখ্যা হ্রাস করে এবং আপনাকে হোস্ট মেশিন সুরক্ষায় ফোকাস করতে এবং সাইটের ভিত্তিতে কোনও সাইটের অন্য সমস্ত জিনিস মোকাবেলার অনুমতি দেয়।


আমি সম্মত তারা আরও ভাল সুরক্ষা সরবরাহ করে এবং অন্যান্য সুবিধাগুলিও রয়েছে, তবে তাদের ত্রুটিগুলিও রয়েছে, যার কয়েকটি আপনি উল্লেখ করেছেন। এই প্রশ্নের ভিত্তি যদিও ভাগ করে নেওয়া আপাছে। কেজএফএসের সাহায্যে কোনও মূল শোষণের প্রতিকূলতা হ্রাস করা উচিত - কোনও ভিএম হিসাবে কার্যকরভাবে নয়, তবে আমরা যে সাইটগুলিতে চালিয়ে যাচ্ছি তার ভিত্তিতে আমি এক স্তরে ভাল বোধ করি। আমার মূল লক্ষ্য হ'ল যথাযথ সুরক্ষায় কোনও মিসটপ্স এড়ানো, যেমন কারও কাছে রুট অ্যাক্সেস পাওয়ার জন্য এটি একটি নিখুঁত ঝড় হতে পারে। উদাহরণস্বরূপ, আমি সহজেই অতীতে সিমলিংক আক্রমণগুলি সম্পর্কে না জেনে থাকতে পারি এবং এটি একটি গুরুতর ভুল ছিল। ধন্যবা
sa289

4

আমি প্রতিটি সাইটকে তার নিজস্ব অ্যাপাচি ডেমনের অধীনে চালিত এবং অ্যাপাচি ক্রুটিং করার পরামর্শ দেব। সমস্ত সিস্টেম পিএইচপি ফাংশন ব্যর্থ হবে যেহেতু অ্যাপাচি ক্রুট পরিবেশ / বিন / শের অ্যাক্সেস পাবে না। এর অর্থ হ'ল পিএইচপি-র মেইল ​​() ফাংশনটিও কাজ করবে না, তবে আপনি যদি আপনার ইমেল অ্যাপ্লিকেশন থেকে মেল প্রেরণের জন্য কোনও বহিরাগত মেল সরবরাহকারী ব্যবহার করেন, তবে এটি আপনার সমস্যা হওয়া উচিত নয়।


আমি এটি এইভাবে করতে চাই - আমরা অতীতে এটি (মাইনাস ক্রুটিং) করে এসেছি, তবে দুর্ভাগ্যক্রমে এটি আমাদের একটি স্ট্যান্ডার্ড কন্ট্রোল প্যানেল সেটআপ ব্যবহার করতে বাধা দেয় এবং আরও কিছু না করে এটি আরও নিবেদিত আইপি অ্যাড্রেসগুলি গ্রহণ করে অ্যাপাচি সাইটের সাথে জটিল জটিল বিপরীত প্রক্সি সেটআপ শোনার জন্য অ্যাপাচি সাইটে যেমন ডকুমেন্টেড এর অভ্যন্তরীণ আইপি ঠিকানাগুলি শুনছে।
sa289

হ্যাঁ হ্যাঁ, আপনি এখানে উল্লেখ করেছেন এটি একটি ভাল বিষয়। এটি অবশ্যই আইপি-র বেশি ডেডিকেটেড আইপি থাকার প্রয়োজন হবে বা একটি বিপরীত প্রক্সিতে ফিরে যাবে।
Alpha01

যদি কেউ এই উত্তরটি পড়েন তবে বিপরীত প্রক্সি সেটআপের জন্য ডকুমেন্টেশনে আগ্রহী, wiki.apache.org/httpd/DifferentUserIDsUsingReversProxy
sa289

4

SELinux সাহায্য করতে পারে mod_selinux। একটি দ্রুত হাটো এখানে বৈশিষ্ট্যযুক্ত:

কীভাবে আমি পিএইচপি স্ক্রিপ্টগুলি সীমাবদ্ধ রাখতে সেলিনাক্স ব্যবহার করতে পারি?

নির্দেশাবলীটি একটু তারিখযুক্ত হওয়ায়, আমি এটি পরীক্ষা করেছি যে এটি আরএইচএল 7.1 তে কাজ করে:

আমি ফেডোরা 19-এর সংস্করণ ব্যবহার করেছি এবং আরএইচএল 7.1 + ইপিলের বিরুদ্ধে মক সহ সংকলিত করেছি ।

ওয়াইএমএমভি আপনি যদি এর সাথে বুনিয়াদি এপেল কনফিগার মক শিপগুলি ব্যবহার করেন:

[mockbuild@fedora mod_selinux]$ mock -r rhel-7-x86_64 --rebuild \
    mod_selinux-2.4.3-2.fc19.src.rpm

selinux-policyএটি বর্তমান কিনা তা নিশ্চিত করতে প্রথমে আপনার টার্গেট সিস্টেমটি আপগ্রেড করুন ।

টার্গেট বক্সে ইনস্টল করুন (অথবা প্রথমে আপনার স্থানীয় আয়নাতে রাখুন):

yum localinstall mod_selinux-2.4.3-2.el7.x86_64.rpm

এখন, আপনাকে অবশ্যই প্রতিটি ভার্চুয়াল হোস্টকে অ্যাপাচে একটি বিভাগে বরাদ্দ করতে হবে। এটি নীচের উদাহরণস্বরূপ উদাহরণ হিসাবে একটি লাইন যুক্ত করে সম্পন্ন করা হয় selinuxDomainVal

<VirtualHost *:80>
    DocumentRoot /var/www/vhosts/host1
    ServerName host1.virtual
    selinuxDomainVal *:s0:c0
</VirtualHost>

<VirtualHost *:80>
    DocumentRoot /var/www/vhosts/host2
    ServerName host2.virtual
    selinuxDomainVal *:s0:c1 
</VirtualHost>

এরপরে, প্রতিটি হোস্টের জন্য নথির মূলের মধ্যে, ডকুমেন্টের শিকড়গুলিকে একই বিভাগে পুনর্বিবেচনা করুন যা httpd কনফিগারেশনে লেবেলযুক্ত রয়েছে।

chcon -R -l s0:c0 /var/www/vhosts/host1
chcon -R -l s0:c1 /var/www/vhosts/host2

আপনি যদি সিস্টেমটি রিলেবিল করেন তবে আপনি যদি লেবেলটিকে সম্মানিত করতে চান তবে আপনি স্থানীয় নীতিটিও আরও ভাল আপডেট করতে পারবেন!

semanage fcontext -a -t httpd_sys_content_t -r s0-s0:c0 '/var/www/vhosts/host1(/.*)?' 
semanage fcontext -a -t httpd_sys_content_t -r s0-s0:c1 '/var/www/vhosts/host2(/.*)?'

আমি এটির ধারণাটি পছন্দ করি তবে সার্ভারে আমাকে সেলিনাক্স চালু করতে হবে যা অন্যান্য অসুবিধার পরিচয় দিতে পারে। যদিও এটি আমি মনে করি না তাদের পক্ষে এটি দুর্দান্ত সমাধান হতে পারে বলে আমি মনে করি।
sa289

4

ইতিমধ্যে সরবরাহ করা অনেক ভাল প্রযুক্তিগত উত্তর রয়েছে (দয়া করে এখানে একবার দেখুন: https://security.stackexchange.com/q/77/52572 এবং একটি এলএএমপি সার্ভার সুরক্ষার জন্য টিপস ) তবে আমি এখনও এখানে উল্লেখ করতে চাই সুরক্ষা সম্পর্কে একটি গুরুত্বপূর্ণ বিষয় (অন্য দৃষ্টিকোণ থেকে): সুরক্ষা একটি প্রক্রিয়া । আমি নিশ্চিত যে আপনি এটি ইতিমধ্যে বিবেচনা করেছেন, তবে আমি এখনও আশা করি এটি কখনও কখনও পুনর্বিবেচনা করা কার্যকর হতে পারে (অন্যান্য পাঠকদের জন্যও)।

উদাহরণস্বরূপ, আপনার প্রশ্নে আপনি মূলত প্রযুক্তিগত পদক্ষেপগুলিতে মনোনিবেশ করেন: "এই প্রশ্নটি কেবল ভাগ করা অ্যাপাচি সেটআপের সুরক্ষা সম্পর্কিত targeted অ্যাপাচি এবং পিএইচপি। "

আমি এখানে উল্লিখিত প্রায় সমস্ত উত্তর এবং অন্যান্য 2 টি প্রশ্নেরও সম্পূর্ণরূপে প্রযুক্তিগত বলে মনে করি (আপডেট থাকার পরামর্শ ছাড়াই)। এবং আমার দৃষ্টিকোণ থেকে এটি কিছু পাঠকদের একটি বিভ্রান্তিমূলক ধারণা তৈরি করতে পারে যে আপনি যদি একবার নিজের সার্ভারকে সর্বোত্তম অনুশীলন অনুযায়ী কনফিগার করেন তবে আপনি চিরকাল নিরাপদে থাকবেন। সুতরাং দয়া করে উত্তরগুলিতে আমি যে পয়েন্টগুলি মিস করছি তা ভুলে যাবেন না:

  1. প্রথমত, ভুলে যাবেন না, সুরক্ষা একটি প্রক্রিয়া এবং বিশেষত, "প্ল্যান-ডু-চেক-অ্যাক্ট" চক্র সম্পর্কে, আইএসও 27001 ( http://www.isaca.org/ সহ অনেক স্ট্যান্ডার্ড দ্বারা প্রস্তাবিত ) জার্নাল / সংরক্ষণাগারগুলি / ২০১১ / খণ্ড -৪ / পৃষ্ঠা / পরিকল্পনা-এর-এবং-বাস্তবায়ন-ISO27001.aspx )। মূলত, এর অর্থ হ'ল আপনাকে নিয়মিত আপনার সুরক্ষা ব্যবস্থাগুলি সংশোধন করতে হবে, সেগুলি আপডেট করতে এবং পরীক্ষা করতে হবে

  2. আপনার সিস্টেমকে নিয়মিত আপডেট করুন। এটি শূন্য-দিনের দুর্বলতাগুলি ব্যবহার করে লক্ষ্যযুক্ত আক্রমণগুলির বিরুদ্ধে সহায়তা করবে না, তবে এটি প্রায় সমস্ত স্বয়ংক্রিয় আক্রমণগুলির বিরুদ্ধে সহায়তা করবে।

  3. আপনার সিস্টেম নিরীক্ষণ। আমি উত্তরে এই পয়েন্টটি সত্যিই মিস করছি। আমার দৃষ্টিকোণ থেকে, আপনার সিস্টেমের সাথে কিছু সমস্যা সম্পর্কে যত তাড়াতাড়ি সম্ভব অবহিত করা অত্যন্ত গুরুত্বপূর্ণ।

    পরিসংখ্যানগুলি এ সম্পর্কে এটি বলে: "অনুপ্রবেশ থেকে আবিষ্কারের গড় সময় 173.5 দিন হয়" ( http://www.triumfant.com/detection.html ), "সনাক্তকরণের 205 দিনের আগে সংখ্যা" ( https: // www2 .fireeye.com / আরএস / ফায়ারাই / চিত্র / আরপিটি-এম-ট্রেন্ডস -2015.pdf )। এবং আমি আশা করি যে এই সংখ্যাগুলি আমরা সকলেই যা চাই তা চাই না।

    কেবলমাত্র পরিষেবার অবস্থা (নাগিওসের মতো) নিরীক্ষণের জন্য অনেকগুলি সমাধান (বিনামূল্যে সহ) রয়েছে, তবে অনুপ্রবেশ সনাক্তকরণ সিস্টেম (ওএসএসইসি, স্নোর্ট) এবং এসআইইএম সিস্টেম (ওএসএসআইএম, স্প্লঙ্ক) রয়েছে। যদি এটি খুব জটিল হয়ে ওঠে, আপনি কমপক্ষে 'ফেল2ban' এর মতো কিছু সক্ষম করতে পারেন এবং / অথবা আপনি আলাদা সিস্টেমে সার্গল সার্ভারে লগ করে এবং গুরুত্বপূর্ণ ইভেন্টগুলি সম্পর্কে ইমেল বিজ্ঞপ্তি রাখতে পারেন।

    আবার, এখানে সবচেয়ে গুরুত্বপূর্ণ বিষয়টি আপনি কোন মনিটরিং সিস্টেমটি চয়ন করেন তা নয়, সবচেয়ে গুরুত্বপূর্ণটি হ'ল আপনার "প্ল্যান-ডু-চেক-অ্যাক্ট" চক্র অনুসারে আপনার কিছু পর্যবেক্ষণ রয়েছে এবং নিয়মিত এটি সংশোধন করা উচিত

  4. দুর্বলতা সম্পর্কে সচেতন হন। পর্যবেক্ষণ হিসাবে একই। আপনার সেটআপের জন্য গুরুত্বপূর্ণ অ্যাপাচি বা অন্যান্য পরিষেবাদির জন্য কিছু সমালোচনামূলক দুর্বলতা যখন সন্ধান করা হয় তখন কেবল অবহিত হওয়ার জন্য কিছু দুর্বলতার তালিকার সাবস্ক্রাইব করুন। লক্ষ্যটি হ'ল আপনার পরবর্তী পরিকল্পিত আপডেটের আগে উপস্থিত সবচেয়ে গুরুত্বপূর্ণ বিষয় সম্পর্কে অবহিত করা।

  5. কোনও ঘটনার ক্ষেত্রে কী করা উচিত তা পরিকল্পনা করুন (এবং নিয়মিত আপডেট করুন এবং আপনার "প্ল্যান-ডু-চেক-অ্যাক্ট" চক্র অনুসারে এটি সংশোধন করুন)। আপনি যদি সুরক্ষিত কনফিগারেশন সম্পর্কে প্রশ্ন জিজ্ঞাসা করেন তবে এর অর্থ আপনার সিস্টেমের সুরক্ষা আপনার জন্য গুরুত্বপূর্ণ হয়ে ওঠে। তবে, সমস্ত সুরক্ষা ব্যবস্থা সত্ত্বেও যদি আপনার সিস্টেম হ্যাক হয়ে যায় তবে আপনার কী করা উচিত? আবার, আমি এখানে কেবলমাত্র "ওএস পুনরায় ইনস্টল করুন" এর মতো প্রযুক্তিগত পদক্ষেপগুলি বোঝাতে চাইছি না: প্রযোজ্য আইন অনুযায়ী আপনার কোনও দুর্ঘটনার খবর কোথায় দেওয়া উচিত? আপনি কি আপনার সার্ভারটি অবিলম্বে শাটডাউন / সংযোগ বিচ্ছিন্ন করার অনুমতি পেয়েছেন (এটি আপনার কোম্পানির জন্য কত খরচ হবে)? প্রধান দায়িত্বশীল ব্যক্তি ছুটিতে / অসুস্থ থাকলে কার সাথে যোগাযোগ করা উচিত?

  6. একটি ব্যাকআপ, সংরক্ষণাগার এবং / অথবা প্রতিস্থাপন / প্রতিলিপি সার্ভার আছে। সুরক্ষা অর্থ আপনার পরিষেবার প্রাপ্যতা। আপনার ব্যাকআপ / সংরক্ষণাগার / প্রতিলিপি নিয়মিত পরীক্ষা করুন এবং নিয়মিত পুনরুদ্ধার পদ্ধতি পরীক্ষা করুন।

  7. অনুপ্রবেশ পরীক্ষা? (আবার, "প্ল্যান-ডু-চেক-অ্যাক্ট" চক্রটি দেখুন :) এটি যদি খুব বেশি মনে হয় তবে আপনি কমপক্ষে কয়েকটি বিনামূল্যে অনলাইন সরঞ্জাম ব্যবহার করতে পারেন, যা ম্যালওয়্যার এবং সুরক্ষা সমস্যার জন্য আপনার ওয়েব পরিষেবাদিগুলি স্ক্যান করে।


1
মানুষের মনে রাখার জন্য ভাল সংযোজন। এটি যদি কারও পক্ষে সহায়ক হয় তবে আপনি পোস্ট করা প্রথম দুটি লিঙ্ক এবং আমি যে গুরুত্বপূর্ণ কিছু মিস করেছি তা খুঁজে পেতে তারা কী লিঙ্ক করেছে তার মাধ্যমে আমি প্রচুর সময় কাটিয়েছি। আমি যেগুলি সবচেয়ে বেশি সহায়ক বলে মনে করেছি সেগুলির সাথে সংযুক্ত সংস্থানগুলি হ'ল বেঞ্চমার্কস.সি.সি.সি.আর.আর / ডাউনলোডস / শো -সিংল /… এবং iase.disa.mil/stigs/app-security/web-servers/Pages/index.aspx , যদিও দু'জনের মধ্যে বেশ কিছু পরিমাণে ওভারল্যাপ ছিল। সুরক্ষার বিষয়টি যদি সর্বোচ্চ থাকে তবে আমি পড়ার মতো গুরুত্বপূর্ণ কিছু পাইনি।
sa289

3

আপনার ব্যবহারের ক্ষেত্রে ডকার পাত্রগুলির জন্য আদর্শ।

প্রতিটি কন্টেইনার গ্রাহক বা ক্লায়েন্টকে প্রতিনিধিত্ব করতে পারে, প্রতিটি অ্যাপাচি কনটেইনার গ্রুপকে অতিরিক্ত সুরক্ষা হিসাবে নির্ধারিত অনন্য ইউজার আইডি রয়েছে। চাবিটি হ'ল আপনার অ্যাপাচি স্ট্যাক শুরু করার আগে ধারক শুরুতে মূল সুবিধাগুলি বাদ দেওয়া drop প্রতিটি গ্রাহক কয়েক ডজন ভার্চুয়াল মেশিনে দাঁড়ানোর মাথা ব্যথা ছাড়াই তাদের নিজস্ব অনন্য পাসওয়ার্ড সহ তাদের নিজস্ব ডিবি পরিষেবা পান, যার প্রত্যেকটির নিজস্ব-স্নোফ্লেক কার্নেল এবং অন্যান্য ওভারহেডের প্রয়োজন হয়। সর্বোপরি, ডকারের হৃদয়ে ক্রুট। সঠিকভাবে পরিচালিত, আমি যে কোনও দিন একটি আদর্শ ভার্চুয়াল ক্লাস্টারের উপরে নিয়ে যাব।


এর অর্থ কি ক্লায়েন্টের জন্য কোনও ডেডিকেটেড অ্যাপাচি ডেমন কার্যকরভাবে হবে? যদি তা হয় তবে আমি মনে করি যে অপূর্ণতা Alpha01 এর উত্তরের মতো হবে।
sa289

হ্যাঁ, এটি আলফা01 এর সাথে খুব সমান, যদিও অ্যাপ্লিকেশনগুলিকে ডকারাইজ করা হোস্ট কনফিগারেশনের বেশিরভাগ মাথা ব্যাথা দূর করে। এটি বলেছে যে আপনি ক্রুট / ধারক পদ্ধতির ব্যবহার করছেন বা এক-ভিএম-প্রতি ক্লায়েন্ট পদ্ধতির ব্যবহার করছেন কিনা তা আপনার কন্ট্রোল প্যানেলের সমস্যা থেকে যায়।
স্টিফান

ধন্যবাদ। এমনকি কোনও নিয়ন্ত্রণ প্যানেল না থাকলেও আমি বিপরীত প্রক্সিটি করা এড়াতে চাইতাম বা অন্য কোনও পাবলিক আইপি দরকার হয় যদি না আমি বুঝতে পারি যে এই সেটআপটি কীভাবে কাজ করবে।
sa289

1
আমি দেখেছি বেশিরভাগ দোকান (বড় এবং ছোট) বিপরীত প্রক্সি পদ্ধতির গ্রহণ করে। আমি ব্যক্তিগতভাবে HAProxy ব্যবহার করি, এটি আপনি যে ধরণের বড় আকারের বিচ্ছিন্নতার জন্য সন্ধান করছেন এটি আদর্শভাবে উপযুক্ত। এটি অত্যন্ত পারফরম্যান্ট, এবং আপনাকে খুব দক্ষতার সাথে আনুভূমিকভাবে স্কেল করতে দেয় এবং এমছচিউটের সমাধানে বহিরাগত জটিলতার প্রবণতা স্পষ্ট বলে মনে হয় না।
স্টিফান

2

ইতিমধ্যে এখানে প্রচুর ভাল পরামর্শ। আলোচনায় এখন পর্যন্ত যে জিনিসগুলি মিস করা হয়েছে তা রয়েছে।

ওয়েব পৃষ্ঠাগুলি পরিবেশন করার অংশ হিসাবে এর বাইরে চলমান প্রক্রিয়াগুলিতে মনোযোগ দিন। অর্থাত্ নিশ্চিত করুন যে আপনার সমস্ত ক্রোন জবস যা অবিশ্বস্ত ডেটা স্পর্শ করে তা যথাযথ ব্যবহারকারীর হিসাবে এবং উপযুক্ত কারাগারে চলছে, সেই চাকরিগুলি ব্যবহারকারী দ্বারা নির্ধারিত হয়েছে কিনা।

আমার অভিজ্ঞতায় লগ বিশ্লেষণের মতো জিনিস, যখন হোস্টিং পরিষেবা সরবরাহ করে, প্রায়শই না মূল হিসাবে চালিত হয় এবং লগ বিশ্লেষণ সফ্টওয়্যারটি আমাদের পছন্দ মতো সুরক্ষা নিরীক্ষণ দেওয়া হয় না। এটি ভালভাবে করা কিছুটা জটিল এবং সেটআপ নির্ভর। একদিকে আপনি নিজের রুট-মালিকানাধীন (অর্থাত্ পিতৃতান্ত্রিক প্রক্রিয়া) অ্যাপাচি প্রক্রিয়া ব্যবহারকারীকে যে কোনও ডিরেক্টরিতে আপোস করতে পারে তা লিখতে চান না। এর অর্থ সম্ভবত কারাগারে সরাসরি লেখা না। অন্যদিকে বিশ্লেষণের জন্য আপনার এই ফাইলগুলি কারাগারে প্রক্রিয়াগুলির জন্য উপলব্ধ করা দরকার এবং আপনি এটিকে যথাসম্ভব রিয়েল-টাইমের কাছাকাছি রাখতে চান। আপনি যদি লগগুলি সহ আপনার জেলগুলিকে কোনও ফাইল সিস্টেমের পঠনযোগ্য মাউন্টটিতে অ্যাক্সেস দিতে পারেন তবে এটি ভাল।

পিএইচপি অ্যাপ্লিকেশনগুলি সাধারণত তাদের নিজস্ব স্ট্যাটিক ফাইল পরিবেশন করে না, এবং যদি আপনার ভাগ করে নেওয়া অ্যাপাচি প্রক্রিয়া থাকে তবে আমি অনুমান করছি যে আপনার অ্যাপাচি প্রক্রিয়াটি হোস্টের পরিবেশ থেকে সরাসরি জেলগুলির বাইরে স্টাফগুলি পড়ছে? যদি তা হয় তবে তা উদ্বেগের বিভিন্ন বিষয় খুলবে।

.htaccessফাইলগুলি একটি সুস্পষ্ট ফাইল, যেখানে আপনি যা অনুমতি দেবেন সে সম্পর্কে আপনাকে খুব সতর্কতা অবলম্বন করা উচিত। বেশিরভাগ না হলেও বেশিরভাগ পিএইচপি অ্যাপ্লিকেশনগুলি .htaccess ফাইল বিন্যাসের উপর খুব নির্ভরশীল যে আপনি সম্ভবত আপনার পরিকল্পনার স্কিমটি বিলোপ না করে অনুমতি দিতে পারবেন না।

স্পষ্টতই হ'ল অ্যাপাচি কীভাবে স্থিতিশীল ফাইল কী তা স্থির করে Less উদাহরণস্বরূপ এটি একটি *.php.gifবা *.php.enফাইলের সাথে কী করে ? যদি এই প্রক্রিয়া বা অন্য কোনও স্থিতিশীল ফাইল কী তা বৈষম্যকে বোকা বানায় তবে জেলের বাইরে থেকে আপাচে কি পিএইচপি চালানো সম্ভব? আমি স্থিতিশীল বিষয়বস্তুর জন্য একটি পৃথক হালকা ওজন ওয়েব সার্ভার স্থাপন করেছি, যা গতিশীল বিষয়বস্তু নির্বাহের জন্য কোনও মডিউল দিয়ে কনফিগার করা হয়নি এবং স্থির সার্ভারে কোনটি প্রেরণ করার অনুরোধ করে এবং কোনটি গতিশীলকে প্রেরণ করার সিদ্ধান্ত নিতে একটি ভারী ভারসাম্য রাখে।

স্টিফানের ডকার পরামর্শ সম্পর্কে, একটি একক ওয়েব সার্ভার থাকা সম্ভব যা কনটেইনারের বাইরে বসে থাকে এবং যা ডাইনামিক সামগ্রীর জন্য প্রতিটি পাত্রে পিএইচপি ডাইমনের সাথে কথা বলে এবং দ্বিতীয় ওয়েব সার্ভার রয়েছে যা ডকারের ধারকটিতে বসে থাকে এবং যা তাদের সামগ্রীর জন্য প্রতিটি ব্যবহার করে ভলিউম ভাগ করে, এবং এইভাবে স্থির সামগ্রীটি পরিবেশন করতে সক্ষম, যা পূর্ববর্তী অনুচ্ছেদে অনেকটা একই। আমি বিভিন্ন জেল ধরণের পদ্ধতির মধ্যে ডকারকে প্রশংসা করি, তবে এই বা অন্যান্য জেল ধরণের পদ্ধতির সাথে আপনার আরও কয়েকটি সমস্যা সমাধান করতে হবে। ফাইল আপলোড কীভাবে কাজ করে? আপনি কি প্রতিটি পাত্রে ফাইল ট্রান্সফার ডেমন স্থাপন করেন? আপনি কি PAAS স্টাইলের গিট ভিত্তিক পদ্ধতি গ্রহণ করেন? আপনি কীভাবে ধারকটির ভিতরে তৈরি লগগুলি অ্যাক্সেসযোগ্য, এবং তাদের উপর রোল? আপনি ক্রোন জবগুলি কীভাবে পরিচালনা এবং পরিচালনা করেন? আপনি কি ব্যবহারকারীদের যে কোনও ধরণের শেল অ্যাক্সেস দিতে যাচ্ছেন এবং যদি তাই হয় তবে এটি পাত্রে অন্য ডিমন কি? ইত্যাদি, ইত্যাদি


ধন্যবাদ। আপনার প্রশ্নের উত্তর দেওয়ার জন্য - পিএইচপি এর পক্ষে কারাগারের বাইরে চালানো সম্ভব নয় এমনকি কেজএফএসের কারণে যতদূর আমি বলতে পারি ভিন্ন ফাইল এক্সটেনশন ব্যবহৃত হয়। আমি উভয়ই চেষ্টা করেছিলাম SetHandlerএবং AddTypeনতুন এক্সটেনশনটিকে পিএইচপি হিসাবে প্রক্রিয়া করার জন্য এবং এটি জেল হয়ে গেছে। আমি জানি না এর কাছাকাছি উপায় আছে কিনা, তবে আমি আশা করছি যে আমি যদি কিছু মিস করি তবে কেউ এটি নির্দেশ করবে। হ্যাঁ, আপাচি সরাসরি জেল থেকে বাইরে পড়ছে। ক্রোন জবসের দিকে নজর রাখার ভাল বিষয় - এটি দেখে মনে হয় যে রুট হিসাবে চালানো যেমন বিভিন্ন জিনিস প্রতিবেদনিত দুর্বলতার উত্স।
sa289

Re: .htaccess, সার্ভার আমি AllowOverrideList এই অনুমতি দিতে ব্যবহৃত: Add{Charset,DefaultCharset,Encoding,Handler,OutputFilter,OutputFilterByType,Type} Allow Auth{GroupFile,Name,Type,UserFile} Deny DirectoryIndex ErrorDocument Expires{Active,ByType,Default} FileETag ForceType Header IndexIgnore Order php_flag php_value Redirect RedirectMatch Remove{Handler,Type} RequestHeader Require Rewrite{.various.} Satisfy Set{Env,EnvIf,EnvIfNoCase,Handler} SSLRequireSSL। আমার উদ্বেগ অ্যাডটাইপ, অ্যাডহ্যান্ডলার এবং সেটহ্যান্ডলার, তবে দ্রুপাল উদাহরণস্বরূপ ফাইল আপলোড ডায়ারের গভীরতার প্রতিরক্ষার জন্য সেটহ্যান্ডলার ব্যবহার করে।
sa289

যদি আপনি লোকদের হ্যান্ডলারের সাথে টিঙ্কার করার অনুমতি দিচ্ছেন, তবে আপনাকে সমস্ত সংজ্ঞায়িত ক্রিয়াকলাপটি সন্ধান করতে হবে এবং নিশ্চিত করতে হবে যে তারা নিরাপদ, কেবল পিএইচপি নয়।
mc0e

ভাল যুক্তি! আমি নিশ্চিত করেছি SetHandler server-infoবা SetHandler server-statusএইচটিসিএক্স ফাইলটি এমন এক উপায় যা কোনও আক্রমণকে সহজতর করতে পারে বা এমন তথ্য প্রকাশ করতে পারে যা সার্ভারের সমস্ত ভার্চুয়ালহোস্টের মতো প্রকাশিত হয় না (যা উদাহরণস্বরূপ বর্শার ফিশিংয়ের জন্য ব্যবহৃত হতে পারে) বা অন্য সাইটগুলিতে বর্তমান ট্র্যাফিক । আমার কেবলমাত্র তাদের থেকে কিছু হ্যান্ডলার / টাইপ অপসারণ করতে হবে AllowOverrideList। আপনি কি জানেন যে কোনও পদ্ধতিতে সমস্ত সম্ভাব্য ক্রিয়া / হ্যান্ডলারের তালিকা রয়েছে? আমি অনলাইনে অনুসন্ধানের চেষ্টা করেছি কিন্তু ভাল উত্তর পাই নি।
sa289

1
আপনাকে অনুগ্রহপূর্বক পুরষ্কার প্রদান করেছেন কারণ আমাদের আলোচনার ফলে তথ্য প্রকাশের দুর্বলতা যা আমি n'tাকেনি। ক্রিয়া / হ্যান্ডলারের তালিকা সম্পর্কে আপনার কোনও প্রতিক্রিয়া থাকলে দয়া করে আমাকে জানান। ধন্যবা
sa289

1

প্রথম জিনিসটি আমি দেখতে পাচ্ছি না প্রক্রিয়া পরিচালনা যাতে একটি প্রক্রিয়া সিপিইউ বা র‌্যামের অন্য প্রক্রিয়াটি না খাইতে পারে (বা এই বিষয়ে I / O, যদিও আপনার ফাইল সিস্টেমটি এটি রোধ করার জন্য আর্কিটেক্ট করা যেতে পারে)। আপনার পিএইচপি উদাহরণগুলির মধ্যে একটি "পাত্রে" পদ্ধতির একটি বড় সুবিধা বনাম সেগুলি একটি "ওএস" চিত্রে সেগুলি চালানোর চেষ্টা করা হ'ল আপনি সেইভাবে আরও ভালভাবে সংস্থান ব্যবহারকে সীমাবদ্ধ করতে পারেন। আমি জানি এটি আপনার নকশা নয়, তবে এটি বিবেচনার জন্য।

যাইহোক, পিএইচপি ব্যবহারের ক্ষেত্রে ফিরে আসুন আপাচে পিছনে মূলত প্রক্সি হিসাবে কাজ করে। suexec অ্যাপাচি ব্যবহারকারী হিসাবে চালানো থেকে কিছু রোধ করে না - এটি অন্য ব্যবহারকারীর মতো চালানোর ক্ষমতা সরবরাহ করে । সুতরাং একটি উদ্বেগ যা নিশ্চিত করা যাচ্ছে যে এটি সমস্ত সঠিকভাবে সম্পন্ন হয়েছে - এটির জন্য ডক পৃষ্ঠাগুলি সেই সম্ভাব্য বিপদ ডেকে আনে: https://httpd.apache.org/docs/2.2/suexec.html । সুতরাং, আপনি জানেন, লবণের শস্য এবং এটি।

একটি নিরাপত্তা দৃষ্টিকোণ থেকে, এর সাথে কাজ করা ব্যবহারকারী বাইনারি সীমিত কিছু (যা সরবরাহ cagefs) আছে বিশেষ করে যদি তারা ভিন্নভাবে অথবা একটি ভিন্ন গ্রন্থাগার বিরুদ্ধে সংকলিত সহায়ক হতে পারে (যেমন এক যে ক্ষমতা যে অবাঞ্ছিত অন্তর্ভুক্ত না) কিন্তু বিপদটি হ'ল সেই মুহুর্তে আপনি আপডেটের জন্য পরিচিত বিতরণকে আর অনুসরণ করছেন না, আপনি আপনার পিএইচপি ইনস্টলসের জন্য পৃথক বিতরণ (ক্যাজফ) অনুসরণ করছেন (কমপক্ষে ব্যবহারকারীর স্পেস সরঞ্জামগুলির ক্ষেত্রে)। যদিও আপনি সম্ভবত ক্লাউডলিনাক্সের সাথে একটি নির্দিষ্ট বিতরণ অনুসরণ করছেন যা এটি একটি বর্ধনশীল ঝুঁকি, এটি নিজেই আকর্ষণীয় নয়।

আপনি যেখানে ইচ্ছা করেছিলেন সেখানে আমি AllowOverride ছেড়ে যাব। গভীরতার প্রতিরক্ষার পিছনে মূল ধারণাটি হ'ল আপনার পুরো স্ট্যাকটি রক্ষা করতে কোনও একক স্তরের উপর নির্ভর না করা। সর্বদা ধরে নিন যে কিছু ভুল হতে পারে। যখন ঘটে তখন প্রশমিত করুন। আপনার সাইটের সামনে কেবল একটি বেড়া থাকলেও আপনি যতটা না কমেছেন ততক্ষণ পুনরাবৃত্তি করুন।

লগ পরিচালনা মূল হতে চলেছে। বিচ্ছিন্ন ফাইল সিস্টেমে একাধিক পরিষেবা চালু থাকার সাথে, সমস্যা আছে যখন সম্পর্কিত হওয়ার জন্য ক্রিয়াকলাপকে সংহত করার জন্য আপনি যদি প্রথম থেকেই সেট আপ না করে থাকেন তবে সামান্য ব্যথা হতে পারে।

এটাই আমার মস্তিষ্কের ডাম্প। আশা করি সেখানে কিছু অস্পষ্টভাবে দরকারী। :)


ধন্যবাদ। আপনি যে সম্পদ সমস্যাটি সমাধান করেছেন তাতে সমস্যা সমাধানের জন্য ক্লাউডলিনাক্সে লাইটওয়েট ভার্চুয়াল পরিবেশ (LVE) এবং মাইএসকিউএল গভর্নর নামে কিছু রয়েছে।
sa289

এটা খুব দুর্দান্ত।
মেরি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.