CageFS içinde kullanıcıların hangi sistem araçlarını göreceği template dosyalarıyla yönetilir. Bu yapı doğru kullanılırsa müşteriye ihtiyaç duyduğu komutlar verilirken, gereksiz sistem görünürlüğü kapalı tutulur.
Var olan CloudLinux dosyalarını düzenlemek yerine benzersiz isimli yeni cfg dosyaları oluşturmak önemlidir. Paket güncellemesinde vendor dosyaları değişebilir; özel dosyalarınızın kaybolmaması için ayrı tutulması gerekir.
- Kullanıcıya verilecek her binary gerçekten gerekli mi diye sorgulanmalıdır.
- RPM içeriği eklemek için addrpm yöntemi kullanılabilir.
- Template değişikliklerinden sonra CageFS update çalıştırılmalıdır.
- /etc/cagefs/conf.d: Template cfg dosyalarının bulunduğu dizindir.
- paths: Kafese alınacak dosya ve binary listesini belirler.
- devices: Gerekiyorsa cihaz dosyalarını tanımlar.
Bir müşterinin ihtiyacı nedeniyle herkese geniş araç seti açmak yerine önce o aracın riskini değerlendirin. Örneğin ffmpeg medya siteleri için gerekli olabilir; fakat her hosting paketinde varsayılan açık olması gerekmez.
- CloudLinux tarafından gelen cfg dosyalarını doğrudan düzenlemeyin.
- Gereksiz binary eklemek saldırı yüzeyini büyütür.
- Update çalıştırılmadan eklenen araç kullanıcı tarafında görünmeyebilir.
Var olan CloudLinux dosyalarını düzenlemek yerine benzersiz isimli yeni cfg dosyaları oluşturmak önemlidir. Paket güncellemesinde vendor dosyaları değişebilir; özel dosyalarınızın kaybolmaması için ayrı tutulması gerekir.
Operasyon Notu
- Kullanıcıya verilecek her binary gerçekten gerekli mi diye sorgulanmalıdır.
- RPM içeriği eklemek için addrpm yöntemi kullanılabilir.
- Template değişikliklerinden sonra CageFS update çalıştırılmalıdır.
Vurgulanacak Ayarlar
- /etc/cagefs/conf.d: Template cfg dosyalarının bulunduğu dizindir.
- paths: Kafese alınacak dosya ve binary listesini belirler.
- devices: Gerekiyorsa cihaz dosyalarını tanımlar.
Komut ve Kontrol
cagefsctl --addrpm ffmpeg
cagefsctl --updateSaha Uygulaması
Bir müşterinin ihtiyacı nedeniyle herkese geniş araç seti açmak yerine önce o aracın riskini değerlendirin. Örneğin ffmpeg medya siteleri için gerekli olabilir; fakat her hosting paketinde varsayılan açık olması gerekmez.
Riskli Noktalar
- CloudLinux tarafından gelen cfg dosyalarını doğrudan düzenlemeyin.
- Gereksiz binary eklemek saldırı yüzeyini büyütür.
- Update çalıştırılmadan eklenen araç kullanıcı tarafında görünmeyebilir.