Начнем с того, что вопрос безопасности на хостинге — это такая вещь, про которую многие вспоминают, когда уже становится поздно. Вы запускаете сайт, ставите плагины, всё вроде работает. А потом бац — и выясняется, что какой-то скрипт содержит странный код. Ну или замечаете необычное поведение, посторонние надписи или ссылки. И тогда вы понимаете, что вас взломали.
Часто последствия усугубляются тем, что на одном аккаунте несколько сайтов, и компрометированный скрипт получает доступ к файлам соседних сайтов. Ниже — что мы сделали технически и какие практические выводы это даёт для вас.
Защита файлов — что изменилось
Панель управления, которую получили пользователи, продолжает поддерживать гибкую настройку прав доступа и уровней доступа (ACL) для операций панели и для действий пользователей. Это не означает, что базовое правило «один аккаунт = один системный пользователь» отменяется. Оно остаётся практическим и надёжным способом минимизировать риск перекрёстного заражения между сайтами.
Практический смысл этого правила прост: если каждый сайт работает от собственного системного пользователя (своим UID/GID), то у скриптов одного сайта нет прав на запись в папках другого. Другими словами, взломав один сайт, невозможно взломать другие сайты на сервере.
Настройка open_basedir и границы доступа
Однако часто бывают ситуации, когда у вас есть несколько доменов, и они размещаются на одном пользователе. Как защитить их? Решение есть — новая панель управления хостингом даёт возможность включать open_basedir для домена. Это настройка PHP, которая ограничивает список директорий, к которым PHP-скрипт может обращаться. При корректной настройке это сильно снижает вероятность того, что скрипт одного сайта начнёт читать или писать файлы другого сайта. Важно проверить эту настройку в панели и, при необходимости, включить её для каждого сайта.
Мы настроили рекомендуемые значения open_basedir. Однако советуем убедиться, что для ваших сайтов эта опция включена.
Защита CrowdSec
Мы заменили старую реактивную схему блокировок file2ban на более современное решение — CrowdSec.
CrowdSec представляет собой комплексное решение на основе набора сценариев (parsers, scenarios) для детекции подозрительного поведения в логах и для принятия решений (решения можно распространять через «bouncers»), использует коллективную информацию для быстрого распознавания повторяющихся атакующих цепочек. За счёт общих данных CrowdSec может блокировать повторно замеченных вредителей быстрее, чем одиночный локальный инструмент, который видит только ваши логи.
В ряде сценариев CrowdSec показывает удобную масштабируемость на высоконагруженных машинах и даёт более интеллектуальную фильтрацию и контекстно-чувствительную защиту, что полезно на публичных серверах с постоянными попытками сканирования/подбора паролей.
AlmaLinux 9 — зачем это нужно
Со старой Ubuntu мы перешли на AlmaLinux 9, потому что это современная, поддерживаемая сборка Linux с актуальными обновлениями безопасности, поддержкой Secure Boot и используемыми в сообществе исправлениями для уязвимостей ядра и компонент (mitigations). Это даёт нам возможность держать систему в актуальном состоянии и применять фиксированные обновления безопасности.
Новая база данных
Теперь по умолчанию все пользователи получили новую базу данных MariaDB взамен устаревшей MySQL. Специалисты нашей компании бесплатно провели миграцию старых баз на новую платформу, что дало прирост к скорости и стабильности работы ваших сайтов.
