Установка proxy-сервера на VDS

[GogA]

Alex_K, спасибо

[ffsdmad]

FreeBSD, sudo нет.

Не догнал, если пароль от юзера стырят, то как права рута получат?

очень просто угнать рутовый пароль если имеется аккаунт юзера, который эти паролем пользуется
шаг 1. создать либо alias или скрипт в $HOME/bin с именем su или sudo
шаг 2. скрипт должен эмулировать внешний вид su, sudo  так что запустив его юзер не должен заметить подмены, а скрипт сохранив и выслав хакеру пароль, должен передать управление настоящему su, sudo
наверно это самый простой способ и доступный всем
обезопасится себя от этого можно создание в /sbin/ скрипта, который будет проверять целостность $env и сконтрольные суммы различных файлов, но запускать его нужно руками, с указанием полного пути
хотя и это не 100% защита

[GogA]

ffsdmad, спасибо за уточнение. Да, знаний в *nix не хатает немного.

Но в данном случае, когда мы прокси-сервер будем использовать только для личных целей, можно и su использовать. Более правильно конечно использование chroot.

ffsdmad, в вашем примере.
Шаг 1. Как злоумышленник имея доступ к прокси серверу (хоть он теоритически не должен знать ни ип ни пару логин:пароль) может залить скрипт в home?
Шаг 2. Лично для меня сомнительно, но идею понял. Только как при запуске прокси сервера вместо системной команды su будет вызван скрипт из home? Не уж-то он так просто вызовется?

[Alex_K]

ffsdmad, спасибо за уточнение. Да, знаний в *nix не хатает немного.

Но в данном случае, когда мы прокси-сервер будем использовать только для личных целей, можно и su использовать. Более правильно конечно использование chroot.

ffsdmad, в вашем примере.
Шаг 1. Как злоумышленник имея доступ к прокси серверу (хоть он теоритически не должен знать ни ип ни пару логин:пароль) может залить скрипт в home?
Шаг 2. Лично для меня сомнительно, но идею понял. Только как при запуске прокси сервера вместо системной команды su будет вызван скрипт из home? Не уж-то он так просто вызовется?

командой alias можно переопределить или задать другие команды
например,

Код: (bash) [Выделить]

alias l='ls -l'
alias ls='ls -l'

[ffsdmad]

ffsdmad, спасибо за уточнение. Да, знаний в *nix не хатает немного.

Но в данном случае, когда мы прокси-сервер будем использовать только для личных целей, можно и su использовать. Более правильно конечно использование chroot.

ffsdmad, в вашем примере.
Шаг 1. Как злоумышленник имея доступ к прокси серверу (хоть он теоритически не должен знать ни ип ни пару логин:пароль) может залить скрипт в home?
Шаг 2. Лично для меня сомнительно, но идею понял. Только как при запуске прокси сервера вместо системной команды su будет вызван скрипт из home? Не уж-то он так просто вызовется?

ну логин и пароль знать не нужно
достаточно найти дырку в скриптах
найдю дырку, и заставив выполнять её shell комманды, можно поиметь что угодно

например, в моём случае, echo 'rm -fR ~/'  > ~/.bash_profile
или так, чтобы не парится с набором текста через дырку, если нельзя повесить полноценный сшел, хацкер на свой сервере пишот вредный скрипт, или компилит прогу
потом wgetит её и запускает, можно даже из cgi-bin
но я думаю практика закачками вебшела более удобна
и вообще это не моя работа, а ночной кошмар