CageFS, her hosting kullanıcısını kendi dosya sistemi görünümü içinde tutarak paylaşımlı sunucuda temel güvenlik katmanı sağlar. Kullanıcı diğer kullanıcı adlarını, sistem yapılandırma dosyalarını ve süreçlerini görmemelidir.
Bu izolasyon doğru çalıştığında müşteri tarafında ekstra bir kısıt hissi oluşmaz. Web scriptleri, cron işleri, SSH ve PAM üzerinden çalışan servisler normal akışını sürdürür; fark arka tarafta görünürlük ve erişim sınırlarının daralmasıdır.
- CageFS mod_php ile uyumlu değildir; PHP handler seçimi buna göre yapılmalıdır.
- LiteSpeed, cron, SSH ve PAM destekli servisler izolasyon içine alınabilir.
- Restricted /proc görünümü saldırganın sunucuyu keşfetmesini zorlaştırır.
- cagefsctl --init: CageFS skeleton oluşturur.
- cagefsctl --update: Skeleton içeriğini günceller.
- fs.proc_can_see_other_uid: Kullanıcıların diğer UID süreçlerini görüp göremeyeceğini etkiler.
Yeni kurulan paylaşımlı hosting sunucusunda CageFS’i varsayılan güvenlik standardı kabul edin. Tek tek müşteri açıldıktan sonra etkinleştirmek yerine, üretim öncesi enable-all modeliyle yeni hesapların otomatik kapsama girmesi daha kontrollüdür.
- CageFS init için disk alanı planlanmadan kurulum yapılırsa skeleton yarım kalabilir.
- php.ini veya sistem aracı değişikliğinden sonra cagefsctl --update unutulmamalıdır.
- Mod_php kullanan eski sunucularda önce PHP handler planı yapılmalıdır.
Bu izolasyon doğru çalıştığında müşteri tarafında ekstra bir kısıt hissi oluşmaz. Web scriptleri, cron işleri, SSH ve PAM üzerinden çalışan servisler normal akışını sürdürür; fark arka tarafta görünürlük ve erişim sınırlarının daralmasıdır.
Operasyon Notu
- CageFS mod_php ile uyumlu değildir; PHP handler seçimi buna göre yapılmalıdır.
- LiteSpeed, cron, SSH ve PAM destekli servisler izolasyon içine alınabilir.
- Restricted /proc görünümü saldırganın sunucuyu keşfetmesini zorlaştırır.
Vurgulanacak Ayarlar
- cagefsctl --init: CageFS skeleton oluşturur.
- cagefsctl --update: Skeleton içeriğini günceller.
- fs.proc_can_see_other_uid: Kullanıcıların diğer UID süreçlerini görüp göremeyeceğini etkiler.
Komut ve Kontrol
yum install cagefs
/usr/sbin/cagefsctl --init
/usr/sbin/cagefsctl --enable-allSaha Uygulaması
Yeni kurulan paylaşımlı hosting sunucusunda CageFS’i varsayılan güvenlik standardı kabul edin. Tek tek müşteri açıldıktan sonra etkinleştirmek yerine, üretim öncesi enable-all modeliyle yeni hesapların otomatik kapsama girmesi daha kontrollüdür.
Riskli Noktalar
- CageFS init için disk alanı planlanmadan kurulum yapılırsa skeleton yarım kalabilir.
- php.ini veya sistem aracı değişikliğinden sonra cagefsctl --update unutulmamalıdır.
- Mod_php kullanan eski sunucularda önce PHP handler planı yapılmalıdır.