Мой пользователь "myuser" находится в группах myuser и www-данных. ls-l в/var/www похож на это: www-данные www-данных rwxrw-r-x по everyfiles (включая). И мой демон не мог записать те файлы или создать новый каталог в/var/www. Так право других были применены: r-x а не права группы rw-
Но я соглашаюсь, существует непоследовательность здесь, права в/var/www должны быть rwxrw-r - или rwxrwxr-x не rwxrw-r-x :)
Теперь, когда мой демон был перезапущен, это в порядке, он может создать каталоги и записать файлы в/var/www. Таким образом как Daenyth и Ignacio сказал, права пользователя рабочего процесса не обновляются, непока Вы не перезапускаете процесс.
Поблагодарите Вас все
Известные дыры в безопасности обычно не являются проблемой, потому что они закрываются. Проблема в том, о чем вы не знаете. Но тогда спрашивать, есть ли какие-нибудь неизвестные дыры, не имеет смысла, не так ли?
Кстати, вам не обязательно открывать вашу установку nagios для публики. Держите административные службы на другом сервере с другим IP, и вы будете немного безопаснее (ботнеты, как правило, сосредоточены на общедоступных сайтах).
В зависимости от того, что вы хотите отслеживать, Nagios может быть или не подходить инструмент для работы. И есть также другие компании, которым вы можете заплатить за мониторинг. Тогда вам не придется беспокоиться о мониторинге самой системы мониторинга. Ребята из monitis даже предлагают мониторинг MySQL .
Веб-интерфейс, который вы можете защитить с помощью дополнительной аутентификации на уровне веб-сервера (с административным, непубличным приложением вряд ли есть основания полагаться только на встроенную аутентификацию, то же самое с phpmyadmin).
То, что вам нужно настроить гораздо более тщательно, - это уровень удаленного плагина (nrpe, ssh, клиентский nsca ...), поскольку здесь задействованы неинтерактивные доверительные отношения, а некоторые настройки выполняются прямо через открытый Интернет.
Нет никаких известных средств защиты дыры в нагиосе. Если есть неизвестные дыры в безопасности, вы ничего не сможете с этим поделать.
Есть некоторые меры безопасности, которые вы можете предпринять:
/etc/nrpe.cfg
найдите allowed_hosts =
. Это ограничит круг лиц, которые действительно могут спросить NRPE о том, что происходит. (или выполнить удаленные команды) Я предполагаю, что вы используете apache2, поэтому для этого посмотрите файл /etc/apache2/nagios.conf (или ваш эквивалентный файл конфигурации apache2, если у вас есть скомпилированная версия). В блоке сопоставления каталога есть что-то вроде следующего:
Allow from all
Вы можете изменить это на:
Allow from IP/subnetmask
или
Разрешить с IP
ИМХО, ни один из инструментов администрирования www, таких как phpmyadmin и nagios, не должен быть доступен из Интернета, если компания не запрашивает это явно.
Но если вы должны это сделать, защитите такие приложения дополнительными паролями с помощью .htaccess.
Если вам нужно предоставить phpmyadmin для большого количества пользователей, то защита его с помощью .htaccess - не такая уж хорошая идея (громоздко сгенерировать пароль для всех пользователей (клиентов), а пользователям не нравится двойная аутентификация).
] Вы всегда можете поделиться им по уникальному URL-адресу, а не https: // yoursite / phpmyadmin
, все, что вам нужно сделать, это изменить псевдоним в файле visrtualhost phpmyadmin.
Вы всегда должны делиться этими приложениями через https!
Nagios предназначен только для администратора, вы можете ограничить доступ к нему только для IP-адресов, которые должны иметь доступ к .htaccess. Если вы не используете ни один стандартный порт (кроме 80 и 443), вы можете ограничить доступ к нему с помощью iptables.
Хорошая идея - защитить эти приложения от грубой силы с помощью fail2ban.
Идеально защищенных систем не существует. Риск есть всегда, но нужно делать все, чтобы его минимизировать.