当前位置: 电脑软硬件应用网 > 电脑学院 > 服务器技术 > 正文 |
|
|||
Apache+Proftpd虚拟主机的安全问题 | |||
2009-8-17 21:33:07 文/网络收集 出处:电脑软硬件应用网 | |||
1. proftpd建立hostuser/hostuser帐号,所有用户均映射到该帐号。 htdocs/hosts 目录属主也为hostuser 这样用户使用FTP上传的文件属性为hostuser(644 755)。 将FTP锁定用户在自己的主目录下。 apache以nobody运行(以独立apache用户更好),读hostuser的脚本文件。 对于要写入的目录uploads和cache,必须设定777,且循环设定其子目录。两个目录禁止脚本执行(.htaccess:php_flag engine off)。这样即使黑客上传webshell到这两个目录,也无法执行。 这样cache或uploads中的新文件的属主将是nobody cache目录要限制对外访问。 这里存在一个问题,就是apache生成的文件和目录644和755,当proftpd以hostuser:hostuser运行时,用户是无法删除cache或uploads中的内容的。 解决方法: (1) 在PHP程序中chmod文件和目录分别为666和777 以adodb为例,需修改adodb.inc.php文件1681行if (!mkdir($dir,0771)) 和adodb-csvlib.inc.php文件287行chmod($tmpname,0644);两个地方 (2) 让用户在系统里面清空cache和uploads 2. PHP safe_mode,它的主要作用是读写文件时会检查当前脚本和要读写或修改的文件属主是否一致,如果不一致就拒绝修改。 不过,如果当前脚本属主是hostuser,要删除属主是nobody的uploads目录下的文件,一旦safe_mode打开,就不能写了。 所以safe_mode默认是不打开的, 其替代方案为: php_admin_value open_basedir /docroot 限制每个用户只能访问自己的文件。这里的docroot是程序的根目录,不是程序下的cache或uploads目录。如果不是根目录,PHP程序都无法访问。 3. (不一定能保证)所有PHP程序脚本能过滤Remote Code Execution和Local File Include攻击。否则黑客仍有可能读取config.php中的密码,或者直接读写cache或uploads目录中的内容。 cache目录中不可存放类似用户密码之类的数据。 4. expose_php设为off ,这样php不会在http文件头中泄露PHP的版本号. |
|||
最新热点 | 最新推荐 | 相关文章 | ||
虚拟化灾难恢复八问八答 搭建全能主机 多图详解苹果“雪豹”服务器系统安装… 新手必看:买虚拟主机10个注意事项 使用国外Linux主机做网站要注意2点 新手知识:虚拟主机知识全接触 支招:如何搭建九层高的服务器机架? IBM System x3200M2服务器常见问题解… IBM刀片服务器搭建理想动态基础架构 Windows服务器组件安全设置策略 |
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |