© / Posted in 网事如烟,Linux / March 27, 2011
玩虚拟主机,空间,VPS,服务器有一年了,一直觉得没有一个好用的免费的面板,像cpanel,DA那样的,呵呵~~
对于我这样的一个穷人来说挺郁闷的。其实就想要一个简单的,能简单进行虚拟主机的管理的控制面板。当然免费的也有。但是各种各样的问题。
像kloxo我觉得界面很恶心,而且有域名限制。还有原来用过的ISPCP,挺不错的,就是用户添加域名需要管理员审核才行。总之就是各种各样的不爽吧。
于是一直想自己写一个简单的,基于网站的管理面板。其实无非就是一些文件操作而已。主要是一个权限问题,怎么样在基于网站的形式,而不是基于另外的守护进程的模式来管理权限。
其实当初已经考虑得差不多了,一直没动手,一拖就是半年……
————————————————————————————————————————————————
呵呵,发现了国内两个面板,luManager和wdcp,前一个就不说了,走收费路子,还没完善就想着赚钱了。wdcp我今天才试了下自己安装,原来只试过他们的demo。觉得还是不错的一个面板。和我原来的构想一样。
那么它是怎么解决权限问题的呢?
花了点时间,装好,设置好,看它的代码,zeus加密了,简单,黑刀破一下,虽然没能完全破完,还让我差点死机……(太多破解进程僵死)不过还是可以看到了一点东西,找了找,找到了我认为需要root权限,而它基于网页应该没有的地方,看了下,是使用了sudo。那么就去看下/etc/sudoers 咯
果然,把www组给加进去了,然后是无需密码允许sudo执行它放在/bin里的两个程序wd_app和wd_sys。这俩程序简单string了一下和objdump了一下,没发现什么东西。时间也不早了,明天还要起来赶活。就不再进行继续分析了,也知道了我想知道的东西,就是它怎么样把web权限转换为root权限来进行相应的配置文件修改的。
了解了它的权限转换思路,通过sudo -> 自己的程序实现相应功能。这样的权限转换,要注意的是针对网站的函数执行权限限制。限制住只有登录控制面板的用户可以执行exec等函数,还有就是控制面板网站本身的安全要做好,最后就是一定要限制住跨目录!
————————————————————————————————————————————————
不过全球代购中心论坛上,一说起这个控制面板,就有不少人说有漏洞。呵呵,我也没那闲功夫去看是哪里有漏洞。问他们也不说。懒得管了。
感谢楼主分享的好文章!!!
还是DA靠谱,我一直在深入研究DA,最近研究动静分离
kloxo新版已经取消域名限制了:)
不好用,用不惯,额呵呵
n点虚拟主机管理系统不就是免费的?
我也买了个vps了,但是想找个简单点的空间管理面板安装的,不知道哪个好
支持一下·······
很不错的小站,大家可以多交流交流
来看看!