[FUG-BR] Joomla no Jail

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Quarta Março 7 13:07:06 BRT 2007 

Silmar Oliveira escreveu:
> Olá Lista,
> 
> Meu cenário é o seguinte:
> Um servidor onde cada departamento da empresa tem seu próprio
> diretório no /home, onde pode publicar suas páginas da internet. A
> grande maioria utiliza o Joomla!. Ocorre que os camaradas não
> atualizam esse utilitário e, como todos sabem, frequentemente se
> descobre uma nova vulnerabilidade, que só é consertada com a
> instalação da nova versão.
> 
> Li algumas coisas sobre o Jail e achei interessante. Tem como eu
> colocar cada diretório dentro de uma Jail diferente? Alguém teria
> algum estudo de caso parecido? Ou poderia indicar uma literatura
> "top"? Ou alguma outra solução?

Silmar, considere a principal particularidade de um Jail: cada Jail tem 
um IP distinto, e nao e possivel multiplos Jail ser usados no mesmo IP 
ou IP do servidor hospedeiro.

Se com essas caracteristicas voce considerar que Jail te atende, entao 
basta ler o "man jail", ele documenta tudo que alguem precisa saber pra 
usar o recurso.

Mas mesmo com Jail o risco de um CMS bugado continua o mesmo: alguem mal 
intencionado podera crackear o proprio CMS e seu conteudo. Assim sendo, 
o php adequadamente configurado pode garantir o mesmo nivel de 
isolamento, garantindo que o codigo inseguro possa ser malefico apenas a 
ele mesmo.

Resumindo, a diferenca, usando bugado fazer mal a si mesmo e extender o 
perigo ao resto do sistema. Pra nao ter riscos no proprio CMS so mesmo 
atualizando.

Adicionalmente considere usar o mod_security, com ele e possivel criar 
regras muito eficientes de deteccao (e logico, tambem barrar) sql e code 
injection, que sao em 95% as formas de explorar problemas do Joomla.

Mas no final das contas nada vai passar de paleativos, fortemente 
desencorajaveis frente a atualizacao do software. Atualizar o joomla eh 
facil: quando nao se usa muitos componentes de terceiros basta pegar os 
"zip" de atualizacoes e descompactar, ele modifica so o necessario, nao 
tendo que reinstalar.

-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
(31) 3281-9633 / 3281-3547
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

Mais detalhes sobre a lista de discussão freebsd