Mensajes

Gracias por el consejo, no sabía que estas reglas se eliminaban al reinicio del sistema, esto pasa a pesar de que guardo las reglas con service iptables save?

No, si guardas las reglas de iptables, estas persisten a través de reinicios del sistema. Mi punto es que si te quedaste fuera del sistema por una regla de iptables puedes reiniciar el equipo remotamente y volver a conectarte sin problemas. Si guardas las reglas vas a tener que cambiar de ip, acceder al equipo físicamente o si es una instancia controlada por un servicio web usar una shell de rescate, reinstalar el sistema nuevamente, o levantar un ticket.

En fin, hay formas de recuperar el sistema. Mi punto es que si no estas seguro que las reglas te van a limitar el acceso completamente, es mejor que no las guardes.

Mucho cuidado con el orden de las reglas, volver a insertar la regla con -I te puede dejar sin conexion. Lo mejor seria dejar la regla con el ACCEPT siempre al inicio y usar iptables -A para agregar la regla al final de la tabla. Tambien puedes dejar una regla para no cortar conexiones establecidas. De esta forma, mientres estes logueado por ssh no te tira.

Código (bash) [Seleccionar] Expandir


sudo iptables -I INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# despues agregar reglas, iptables -A
sudo iptables -A INPUT -s x.x.x -j DROP

Mucho cuidado tambien guardando las reglas de iptables. Si reinicias el sistema puedes resetear las reglas de iptables y puedes recuperar rapidamente la conexion. Tecnicamente no es tan riesgoso como cambiar la chain policy a DROP pero es igual de frustrante porque tendrias que obtener una nueva IP.

Tienes que instalar el Extension Pack, lo puedes encontrar en la pagina de descargas de ellos:

https://www.virtualbox.org/wiki/Downloads

Descarga la version adecuada de acuerdo con la versión de VirtualBox que tengas y después puedes activar USB 2.0.

¿Como esta formateada la USB? Windows creo que no ve las particiones en ext4. Revisa tambien el administrador de dispositivos de Windows. Fijate si la USB aparece ahi con una "?". O si hay un dispositivo no reconocido.

Hay maneras diferentes, pero realmente no estoy seguro si son mejores. Supuestamente hay vulnerabilidades posibles si dejas el root con permisos de escritura pero no he encontrado la vulnerabilidad en especifico.

Otro fix que puedes hacer es el de quitar el permiso de escritura a la carpeta home del usuario y dejar subcarpetas que si tienen permiso de escritura.

Código (bash) [Seleccionar] Expandir


mkdir -p /path/a/home/usuario/uploads
chmod a-w /path/a/home/usuario

Y creo que con eso puedes subir a la carpeta uploads pero no a la carpeta root.

[RESPECTO.]

.
..
...
RESPECTO.

Creo que debian 8 viene con un cliente ftp por default:

Código (bash) [Seleccionar] Expandir


ftp 127.0.0.1

¿Que error sale ahi?

Vaya yo pense que shell_exec usa una tty pero parece que no (la verdad no se porque pense eso). Aparentemente puedes hacer un bypass de eso con:

Código [Seleccionar] Expandir


Defaults:apache !requiretty

Tambien puedes hacerlo por comando aparentemente, revisa aqui:

http://unix.stackexchange.com/questions/79960/how-to-disable-requiretty-for-a-single-command-in-sudoers

No funciono lo del setuid?

Pruebalo con shell_exec en lugar de system.

Pues si, efectivamente deja ejecutar el script pero manteniendo los permisos de apache, los que se llaman con sudo siguen sin ejecutarse

Porque no tienes el setuid puesto:

Código (bash) [Seleccionar] Expandir


sudo chmod 4711 /var/ban/403.sh

Si quieres usar sudo en apache vas a necesitar agregar a las politicas el typo de /usr/sbin/sudo o donde quiera que este en centos. No intentes cambiar el tipo al binario de sudo.