[Tutorial] Conhecendo E Instalando O Cagefs No Cloudlinux

[Jonas]

Boa madrugada a todos, de volta ao fórum, venho falar um pouco sobre uma nova solução que estamos implementando em nossos servidores para torná-los ainda mais seguros. O CloudLinux veio para tornar a vida da gente mais tranquila quanto ao abuso de recursos por clientes que usam demasiadamente os planos de hospedagem compartilhada, causando grandes dores de cabeça para quem não trabalha com um gerenciamento intensivo de seus servidores, com certeza, vale cada mísero dolar investido em sua licença. Mas há outro ponto que tira o sono de muita gente, a muito tempo que indiscutivelmente o CSF dentre outras, é uma das melhores ferramentas já criadas para nos trazer segurança, faz muito mais que muito software comercial e, se fosse pago não hesitaria em investir em sua licença, por outro lado ele faz muito bem o que se compromete, mas há muitas outras questões a se levar em conta. Sabe-se que o CentOS mesmo com toda sua base sólida e esforços para o resguardo das informações, há brechas que possibilitam a leitura de arquivos e diretórios de usuários e do sistema por scripts maliciosos, geralmente que se instalam por brechas em sistemas de gestão de conteúdo desatualizados ou vulneráveis. Neste quesito, para quem já utiliza o CloudLinux, os desenvolvedores do mesmo criaram uma ferramenta para também isolar os acessos aos demais arquivos por exploração nas contas compartilhadas. Anteriormente conhecida como SecureLVE, o CageFS coloca cada conta compartilhada numa espécie de redoma, impossibilitando assim o acesso a arquivos que não pertencem a ela.

Mas vamos ao que interessa, para instalar o CageFS no Ambiente CloudLinux, primeiro verifique o seguinte:

O Kernel executado deve ser igual ou superior ao lve0.8.54, caso não seja, realize a atualização antes de proceder com a instalação.

Execute o comando:

# yum install cagefs

Se você estiver usando cPanel ou Plesk com o servidor web Apache, o CageFS irá detectar automaticamente as configurações e instalar os arquivos de configuração necessárias, após a instalação completa, você poderá gerenciar pela interface do WHM ou do Plesk e executar a inicialização, atualizações e inclusão de usuários na "redoma" através do plugin para estes painéis.

Depois disso, inicialize o modelo de sistema de arquivos:

# /usr/sbin/cagefsctl --init

Isso vai criar um modelo de sistema de arquivos no diretório /usr/share/cagefs-skeleton, este diretório é baseado nos arquivos de configuração em /etc/cagefs/conf.d. Ele também vai criar os pontos de montagem e definir tudo com desativado no modo CageFS. Uma vez que o modelo está pronto e você já testou o CageFS com algumas contas, você pode ativar o CageFS em produção.

*Nota: /usr/share/cagefs-skeleton pode usar de 5 a 7 GB de espaço em disco. Se você não tem espaço suficiente na partição, você pode criar um link simbólico para uma partição onde você tem espaço suficiente. Por exemplo:

mkdir /home/cagefs-skeleton

ln -s /home/cagefs-skeleton /usr/share/cagefs-skeleton

Em servidores com cPanel, se colocar o diretório cagefs-skeleton no /home, você deve configurar a seguinte opção no WHM:

WHM -> Server Configuration -> Basic cPanel/WHM Setup -> Basic Config -> Additional home directories

Altere o valor do padrão /home para o valor personalizado e deixe em branco, sem mudar esta opção, o cPanel pode criar as novas contas em lugares errados.

Depois de concluído estes passos você já pode começas a "engaiolar" as contas pelo plugin que por padrão vem desabilitado em todas as contas.

O CageFS é uma ótima solução para utilizar em clientes novos ou "fuçadores" e trazer um pouco de paz para nossas vidas corridas.

[Jordan Miguel]

Alguém utiliza o plugin em produção?

[Jonas]

Boa noite, jordan, estamos utizando há duas semanas em produção, sem problemas, antes fizemos alguns testes com sites e blogs nossos, não houve nenhum problema. Tínhamos mais receio com sites em Wordpress e joomla, mas não houve problema algum, não afetou nem o desempenho ou consumo do servidor, lembrando que utilizamos em servidores com CloudLinux nativo, instalado em KVM.

[Visitante dessideriojr]

Uso aqui em vmware e tudo ok também.

[dinosn]

Alguém já usou para TODOS os usuários do servidor? Ou seja, num servidor com mais de mil contas, habilitado para todas.

Detalhe: novas contas criadas já estarão com o Cagefs habilitado, ou necessita habilitar manualmente para cada usuário?

Estamos interessados em implementar nos servidores.

[Fernando Rafs]

Alguém utiliza o plugin em produção?

Já utilizei e particularmente não utilizo novamente.

Porque, acesse: http://portaldohost.com.br/forum/index.php?showtopic=10679&hl=

Alguém já usou para TODOS os usuários do servidor? Ou seja, num servidor com mais de mil contas, habilitado para todas.

Detalhe: novas contas criadas já estarão com o Cagefs habilitado, ou necessita habilitar manualmente para cada usuário?

Estamos interessados em implementar nos servidores.

Respondi o seu Tópico. Sobre novas contas sim elas estarão dentro do Cage automaticamente, mas a primeira instalação você deve habilitar as contas.

[Leo Amarante]

Alguém já usou para TODOS os usuários do servidor? Ou seja, num servidor com mais de mil contas, habilitado para todas.

Detalhe: novas contas criadas já estarão com o Cagefs habilitado, ou necessita habilitar manualmente para cada usuário?

Estamos interessados em implementar nos servidores.

Estou utilizando atualmente juntamente com a versão 6.3 do Cloud Linux. As contas existentes no servidor ficam fora do cage, mas você pode facilmente jogá-las para dentro.

No gerenciador existe a opção para habilitar que as novas contas sejam ativadas dentro do cage ou não.

 

Estamos utilizando e até o momento 100% de satisfação. Load do server era em média 4 e picos de 7 e hoje não passa de média 1 e picos de 2.

 

PS: Caso ocorra erro 500 em algumas contas é preciso remover a diretriz +FollowSymlinks do .htaccess. Por se tratar de um isolamento, essa função não irá funcionar dentro do cage e será necessário remove-la.