Wpis z mikrobloga

@gumol: można to zrobić poprzez wiele dziur

@gumol: jeżeli ktoś przez drupala niby przejął kontrolę nad całym systemem - to po prostu ten system nie był zabezpieczony i każdy klient miał dostęp do wszystkiego. nie ma opcji, żeby wadliwy skrypt php spowodował słabość całego systemu operacyjnego serwera

@gumol: a co to za hosting? przed gimnazjalistami stawiającymi hostingi trzeba ostrzegać, więc podaj nazwę - serwery są dziś tanie i takich gównohostingów jest mnóstwo

@varez: jest możliwość, wystarczy prewencyjnie wszystko odpalać na roocie ;)

@gumol: jaki hosting?

@gumol: A którą dziurą wszedł to już zależy czy lewak czy prawak.

Prawdopodobnie trafili tu Państwo świadomie - wskutek mailingu lub wyszukiwania. Jest nam miło z tego powodu i z radością zapraszamy na interesujące Państwa podstrony. W trakcie czytania szczegółów oferty ta radość może się Państwu udzielić.

@gumol: lol ;)

@gumol: w takim razie dupa nie hosting/admin

@gumol: było od początku pisać, że VPS bo wypoki już lincz wykonały ;)

VPS

@gumol: w tym przypadku, admin ma rację - wszystko powinno być na Twojej głowie.

@gumol: VPS to jest Twoja broszka i o ile nie masz jakiejś osobnej opieki - umowy, która wyszczególnia co powinna zawierać usługa to dostajesz maszyne i co z nią robisz to już Twoja sprawa.

@gumol: w szczególności

1. Za bezpieczeństwo systemu operacyjnego zainstalowanego na wirtualnym serwerze prywatnym odpowiada Usługobiorca. Usługodawca nie odpowiada za utratę danych spowodowaną włączeniem reinstalacji wirtualnego serwera prywatnego lub z innych powodów.

@gumol: a no to Twoja wina tylko, nie stawiaj nic istotnego na VPSie jak nie masz pojęcia o serwerach, bezpieczeństwie itd.

@gumol: ach, managed vps? no to poczytaj co tam masz w umowie zapisane

@gumol: konfiguracja, konfiguracją - ale o bezpieczeństwo należy dbać przez cały czas, a nie tylko w momencie instalacji. W tamtym momencie wszystko mogło być ok, a dziura się "pojawiła" (została odkryta) dopiero później

@gumol: problem jest bardziej złożony, powinien być jakiś dokument, który wyszczególnia skład takiej usługi. Przy enigmatycznym "instalacja i konfiguracja" serwera można by przyjąć, że chodzi o postawienie systemu + instalacja gotowych pakietów i koniec.

@gumol: po 2. to @grzemach ma racje. co było zabezpieczone wczoraj, nie musi być bezpeczne dzisiaj. TO PROCES, a nie jednorazowe działanie.

po 3: z mojego doświadczenia, ze względu na wojne cenową, usługodawcy często mówią, że będzie instalacja i konfiguracja a BARDZO często się to sprowadza do plepnięcia enterem w install.sh i koniec... :/

@gumol:

1. zmień admina

2. rób backupy, najlepiej w cronie do innego serwera.

3. Drupal jest fajny, chociaż powinieneś przejść na D7

4. Tak, wina jest admina, jeżeli ktoś włamałby się przez drupala to dalej używałbym apaczowej grupy, a mysql ma własną i całe /var ma inną. Musiał się wbić jako root.

@mrwrotek: ale nie wiesz, że wbił się przez drupala, a może przez FTP, phpmyadmina czy coś jeszcze innego - bo nawet nie wiesz co było zainstalowane. Poza tym to wygląda na klasyczne:

rm -rf *

A to, gdyby miał roota, wywaliło by wszystko nie tylko /var

@mrwrotek: w tym wypadku (o ile umowa nie świadczy inaczej) adminem jest @Gumol. VPS to VPS, twój sprzęt, twoje problemy.

@normanos: chyba że managed VPS. Ale mimo wszystko wina (nie w znaczeniu prawnym, tylko kto zawalił) jest admina, ale problem jest teraz @gumol`a

@mrwrotek: managed managedowi nie równy. wiele usługodawców nazywa coś "managed" co oznacza, że np. przeznaczą godzine, dwie miesięcznie na twoje zgłoszenia albo nawet nie określają godzin tylko mówią, że jak napiszesz to oni to zrobią. to oczywiście NIE jest jednoznaczne z tym, ze to ma byc prawidlowo zabezpieczone na kazdym kroku oraz, ze ktokolwiek np. raz wmiesiacu robi checkliste i sprawdza wszystko. Oczywiście wszystko kosztuje i tez zaden klient nie chcePokaż całość