Если вас одалели форк бомбы которые намертво кладут ваш сервер то вы попали по адресу…

Форк бомбы на сервере с панелью isp manager заводятся без труда даже если вы ограничили количество разрешенных процессов через /etc/security/limits.conf, так вот если настроить лимиты и запустить бомбу в шелле или в кроне дождавшись выполнения задания то все будет хорошо и ваш сервер останется живым при условии что вы настроили  limits.conf  корректно но вот беда — если запустить ту же бомбу через крон в isp manager  по клику (принудительный запуск) то ваш сервер уйдет далеко и надолго, бомбы публиковать не буду сами найдете.

Проблема в обходе авторизации PAM т.к isp делает запуск в таком варианте через свой обработчик cronrun и системные лимиты которые вы установили в limits.conf просто не действуют, сервер уходит в себя из за наплодившихся процессов.

Разработчики уже давно знают о проблеме но не спешат ее решать поэтому как вариант сделать заглушку и тем самым запретить принудительный запуск заданий.

1. настроим лимиты для группы mgrsecure (в этой группе все юзеры)

2. сделаем свою заглушки вместо cronrun

У меня это выглядит так

/etc/security/limits.conf

( grep -v ‘#’  выводит все что не закомменчено # что бы не показывать мусор)

мой   /usr/local/ispmgr/cgi/cronrun

Пожалуй на этом все, настраивайте так как вам надо, результат

 

  4 комментария в “Устранение уязвимости в ispmanager cronrun”

  1. Здравствуйте.
    Огромное спасибо автору за то, что рассказал об этом.
    Могу предложить немного иной способ — просто скрыть кнопку запуска крон задания из ispmgr.

    Для этого нужно создать небольшой модуль для панели (просто XML файл) и положить его в каталог ispmgr/etc.

    Модуль для скрытия кнопки запуска будет такой :

    файл ispmgr/etc/ispmgr_mod_cronrun_hide.xml

    ————————————————————————-

    ————————————————————————-

    Далее перезапускаем панель : killall ispmgr, после чего кнопка запуска крон задачи исчезнет из интерфейса панели.

    Буду рад, если это кому-то будет полезным.

     
  2. по какой-то причине XML файл не отобразился в комментарии.
    Еще одна попытка :

     
    • спасибо за ваш вариант, ваш вариант просто скрывает кнопку но все же бинарный файл-обработчик остается поэтому вызвать программу-бомбу все равно можно будет по средствам API панели.

       
  3. Здравствуйте.
    Спасибо за предупреждение, действительно, не подумал об этом. Ведь файл можно вызвать через API..

     

 Оставить комментарий

(обязательно)

(обязательно)

   
Copyright © 2012. Linuxguru.ru