当前位置: 首页 > 图文教程 > 服务器 > Linux服务器 > Linux下Apache+Proftpd构建虚拟主机的安全问题

Linux服务器
中小企业服务器配置-邮件服务器(1)
中小企业服务器配置-邮件服务器(2)
典型WEB服务器Apache高级设置指南
从HTTP服务器状态代码分析
基于反向代理的Web缓存加速现代理服务器
在ApacheHTTPD服务器中使用DSO完全分析
组网不求人!搭建简易Linux局网服务器
基于NUMA架构的高性能服务器技术(1)
基于NUMA架构的高性能服务器技术(2)
复制另一台Linux服务器及相关问题
Linux服务器之间怎么样SSH不需密码
Rsync在服务器间镜像或者备份目录
服务器诊所:鲜为人知但很有用的观念
服务器诊所:并不是仅仅就是线程化而已
服务器诊所:PDF自动生成专业质量输出
用低代价的服务器过程将文档处理自动化
设置一个企业级的LinuxPOP3服务器
WEB服务器Apache编译指南及高级技巧
给Qmail邮件服务器加个病毒防火墙
LinuxCVS服务器与WinCVS的配置与使用

Linux服务器 中的 Linux下Apache+Proftpd构建虚拟主机的安全问题


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-30   浏览: 79 ::
收藏到网摘: n/a

1.  proftpd建立hostuser/hostuser帐号,所有用户均映射到该帐号。
    htdocs/hosts 目录属主也为hostuser
    这样用户使用FTP上传的文件属性为hostuser(644 755)。
    将FTP锁定用户在自己的主目录下。

    apache以nobody运行(以独立apache用户更好),读hostuser的脚本文件。
    对于要写入的目录uploads和cache,必须设定777,且循环设定其子目录。两个目录禁止脚本执行(.htaccess:php_flag engine off)。这样即使黑客上传webshell到这两个目录,也无法执行。
    这样cache或uploads中的新文件的属主将是nobody
    cache目录要限制对外访问。

    这里存在一个问题,就是apache生成的文件和目录644和755,当proftpd以hostuser:hostuser运行时,用户是无法删除cache或uploads中的内容的。
    解决方法:
    (1) 在PHP程序中chmod文件和目录分别为666和777
      以adodb为例,需修改adodb.inc.php文件1681行if (!mkdir($dir,0771)) 和adodb-csvlib.inc.php文件287行chmod($tmpname,0644);两个地方
    (2) 让用户在系统里面清空cache和uploads


2. PHP safe_mode,它的主要作用是读写文件时会检查当前脚本和要读写或修改的文件属主是否一致,如果不一致就拒绝修改。
不过,如果当前脚本属主是hostuser,要删除属主是nobody的uploads目录下的文件,一旦safe_mode打开,就不能写了。
所以safe_mode默认是不打开的,

其替代方案为:

php_admin_value open_basedir /docroot 限制每个用户只能访问自己的文件。这里的docroot是程序的根目录,不是程序下的cache或uploads目录。如果不是根目录,PHP程序都无法访问。

3. (不一定能保证)所有PHP程序脚本能过滤Remote Code Execution和Local File Include攻击。否则黑客仍有可能读取config.php中的密码,或者直接读写cache或uploads目录中的内容。
    cache目录中不可存放类似用户密码之类的数据。

4. expose_php设为off ,这样php不会在http文件头中泄露PHP的版本号.