symlink یکی از خطرناکترین مواردی است که می بایست روی سرور محدود شود. symlink یکی از ابزارهای هسته سیستم عامل لینوکس است.
برای درک بیشتر می توان گفت عملکرد symlink تا حدودی شبیه به shortcut در سیستم عامل ویندوز است.
در صورت عدم رفع مشکل و محدودیت symlink در سرور لینوکس ، در صورتی که اکانتی مورد نفوذ قرار گیرد توسط symlink می توان به اکانت های دیگر نیز نفوذ کرد.
برای درک بیشتر می توان گفت عملکرد symlink تا حدودی شبیه به shortcut در سیستم عامل ویندوز است.
در صورت عدم رفع مشکل و محدودیت symlink در سرور لینوکس ، در صورتی که اکانتی مورد نفوذ قرار گیرد توسط symlink می توان به اکانت های دیگر نیز نفوذ کرد.
توجه : سیستم عامل cloudlinux تا حد بسیار بالایی توانسته این موضوع را برطرف کند. این سیستم عامل توسط ابزاری به نام cagefs هر اکانت را بصورت قفس در حیطه خود زندانی می کند.
آموزش محدود کردن symlink در cPanel/WHM
– موارد مسیر Home » Service Configuration » Apache Configuration » Global Configuration در WHM شوید.
– در صفحه مورد نظر بصورت زیر عمل کنید.
— مقدار Server Tokens را از منوی کشویی روی ProductOnly تنظیم کنید.
— در بخش Directory “/” Options تیک FollowSymLinks و ExecCGI را بردارید. توجه کنید تیک SymLinksIfOwnerMatch فعال باشد.
— موارد را ذخیره کنید.
– در صفحه مورد نظر بصورت زیر عمل کنید.
— مقدار Server Tokens را از منوی کشویی روی ProductOnly تنظیم کنید.
— در بخش Directory “/” Options تیک FollowSymLinks و ExecCGI را بردارید. توجه کنید تیک SymLinksIfOwnerMatch فعال باشد.
— موارد را ذخیره کنید.
– وارد مسیر Home » Service Configuration » PHP Configuration Editor شده و مورد Advanced Mode را انتخاب کنید.
— مورد disable_functions را پیدا کرده و در مقدار آن علاوه بر مقادیر موجود symlink را نیز وارد کنید.
— موارد را ذخیره کنید.
— مورد disable_functions را پیدا کرده و در مقدار آن علاوه بر مقادیر موجود symlink را نیز وارد کنید.
— موارد را ذخیره کنید.
– وارد مسیر Home » Security Center » Apache mod_userdir Tweak شده و تیک Enable mod_userdir Protection را فعال و بر روی Save کلیک کنید.
– وارد مسیر Home » Security Center » PHP open_basedir Tweak شده و تیک Enable php open_basedir Protection را فعال و بر روی Save کلیک کنید.
– وارد مسیر Home » Security Center » Shell Fork Bomb Protection شده و بر روی گزینه Enable Protection کلیک کنید.
– از هندلر suphp در وب سرور apache برای php استفاده کنید.
موارد فوق تا حد زیادی عمل symlink را محدود می کند اما بصورت قطعی آنرا غیر فعال نمی کند.
توجه داشته باشید که موارد دیگری نیز برای محدود کردن symlink وجود دارد که بعضا موجب اختلال در عملکرد سرویس می شوند که از بیان آنها در این آموزش خودداری شده است.
توجه داشته باشید که موارد دیگری نیز برای محدود کردن symlink وجود دارد که بعضا موجب اختلال در عملکرد سرویس می شوند که از بیان آنها در این آموزش خودداری شده است.
