
Hi guys,<div><br></div><div>Sorry for my late response, I have been out in the big red outback for the past few days...</div><div><br></div><div>Steph, I feel we are banging on about essentially the same thing, so I won't go on... As for PHP system calls, obviously if the directory has the correct permissions and someone calls a system command with the correct permissions then there isn't much we can do to stop that. However, a good log viewer if going to minimise this risk, and (I don't use this) but in my old place of work the server sent an email (which went to SMS) to the system administrators whenever someone logged in as root/sudo.</div>

<div><br></div><div>Of course, PHP permissions should be set correctly, and should probably only be able to read/write in the apache websites, and read the php.ini file. We don't allow individual crontabs or ssh access to our clients.</div>

<div><br></div><div>An application level firewall would be great for certain applications, as long as it was not too restrictive and easily setup.</div><div><br></div><div>You should see my Windows servers...... If you think BX is vulnerable... The amount of worms that get caught, the amount of times someone tries to break the security... It's unreal!</div>

<div><br></div><div>ISP/Host responsibility... I have never put it to the test, and I can see logic in your argument, but that is what an EULA is for. It limits/mitigates our responsibility for them getting hacked with software they provide. In fact, even if we are running software which gets hacked on our website (e.g. WHMCS/BMS) then we are still not liable. Now, as I mentioned in my first emails, our servers can only be accessed from within a VPN. This is the case for all of our systems (and in fact there are no systems on client servers - too risky) so our BMS can only be access through the VPN etc...</div>

<div><br></div><div>Enjoyed this discussion, and would welcome any security tips and trick which people do to secure their boxes - always interesting to see what others are doing!</div><div><br></div><div>James<br><br><div class="gmail_quote">

On 26 September 2010 17:48, Abdul Rashid Abdullah <span dir="ltr"><<a href="mailto:webmaster@muntada.com">webmaster@muntada.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

Fantastic discussion.  Thanks for playing.  ;-)<br>

<div><div></div><div class="h5"><br>

<br>

On 9/25/10 11:47 PM, "Jeff Jones" <<a href="mailto:jeffrhysjones@mac.com">jeffrhysjones@mac.com</a>> wrote:<br>

<br>

> So refreshing to see good intelligent argument on the list without either<br>

> party getting abusive and resorting to slagging the other off (or perhaps that<br>

> is to come?!!?)<br>

><br>

> Seriously though, I know this sounds a bit corny but I think both approaches<br>

> are correct, meaning that (here in the UK at least) in order to pass PCI DSS<br>

> 2.x requirements, they don't like pretty much anything generic, be that server<br>

> admin URL or CMS admin URL. I'm sure that any CMS vendor that has a product<br>

> where it's difficult / impossible to change the admin URL (like ours) is going<br>

> to need to think about sorting this in the near future.<br>

><br>

> But PCI requirements weren't around when CobaltOS was first designed, although<br>

> there have been some significant improvements to security (like the login /<br>

> server locker outer) - I think there is still a way to go before any one gets<br>

> a 'native' BX box past PCI.<br>

><br>

> For one there is the issue of the generic 'admin' account which I believe<br>

> can't be changed.<br>

><br>

> So as this is a BX list, for perhaps the discussion of BX issues and suggested<br>

> improvements, on a server level it would be great if BX could enable you to<br>

> change the admin URL via the GUI, in whatever way people thought best. Ditto<br>

> for other things like admin account, and I think there was someone a while<br>

> back that said some essential BX service was causing his PCI scanner to fail<br>

> for some reason.<br>

><br>

> All BX can really do a about CMS security is to improve the ease of locking<br>

> down the underlying Php engine / application server - something which has been<br>

> really improved from BO to BX.<br>

><br>

> It makes me wonder about sticking an L7 Application Based firewall on BX - is<br>

> that something anyone has looked at? Is there a leading open source project<br>

> out there?<br>

><br>

> Cheers,<br>

><br>

> Jeff<br>

> _______________________________________________<br>

> Blueonyx mailing list<br>

> <a href="mailto:Blueonyx@blueonyx.it">Blueonyx@blueonyx.it</a><br>

> <a href="http://www.blueonyx.it/mailman/listinfo/blueonyx" target="_blank">http://www.blueonyx.it/mailman/listinfo/blueonyx</a><br>

><br>

<br>

<br>

_______________________________________________<br>

Blueonyx mailing list<br>

<a href="mailto:Blueonyx@blueonyx.it">Blueonyx@blueonyx.it</a><br>

<a href="http://www.blueonyx.it/mailman/listinfo/blueonyx" target="_blank">http://www.blueonyx.it/mailman/listinfo/blueonyx</a><br>

</div></div></blockquote></div><br><br clear="all"><br>-- <br>Regards,<br><br>James Darbyshire<br><a href="mailto:jamesdarbyshire@gmail.com">jamesdarbyshire@gmail.com</a><br>

</div>