当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > Apache+Proftpd虚拟主机的安全问题

安全防护
mysql获得系统权限
从IIS转到SQL数据库安全
如何让DHCP服务器更安全
Windows 2000 Advance Serve安全设置
黑客入侵万象服务器的方法
机房管理常见三大难题的解决方法
SQL注入80004005 及其它错误消息
破解asp木马密码
WEBSHELL提升权限又一招
安全研究:Linux系统下的网络监听技术 (1)
安全研究:Linux系统下的网络监听技术(2)
安全设置组策略阻止黑客攻击
菜鸟攻击之简要4899到3389全攻略
游戏私服安全技巧全攻略之攻击篇
服务器防范拒绝服务攻击妙招
怎样防止域欺骗—阻止域名劫持
apache2.0.54防止盗连接详细配置
Linux下初步后门查找
打造IIS网站的专用“护心甲”—实战SSL加密
解决3389登陆看不到界面问题

安全防护 中的 Apache+Proftpd虚拟主机的安全问题


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 39 ::
收藏到网摘: n/a

1. proftpd建立hostuser/hostuser帐号,所有用户均映射到该帐号。

htdocs/hosts 目录属主也为hostuser

这样用户使用FTP上传的文件属性为hostuser(644 755)。

将FTP锁定用户在自己的主目录下。

apache以nobody运行(以独立apache用户更好),读hostuser的脚本文件。

对于要写入的目录uploads和cache,必须设定777,且循环设定其子目录。两个目录禁止脚本执行(.htaccess:php_flag engine off)。这样即使黑客上传webshell到这两个目录,也无法执行。

这样cache或uploads中的新文件的属主将是nobody

cache目录要限制对外访问。

这里存在一个问题,就是apache生成的文件和目录644和755,当proftpd以hostuser:hostuser运行时,用户是无法删除cache或uploads中的内容的。

解决方法:

(1) 在PHP程序中chmod文件和目录分别为666和777

以adodb为例,需修改adodb.inc.php文件1681行if (!mkdir($dir,0771)) 和adodb-csvlib.inc.php文件287行chmod($tmpname,0644);两个地方

(2) 让用户在系统里面清空cache和uploads

2. PHP safe_mode,它的主要作用是读写文件时会检查当前脚本和要读写或修改的文件属主是否一致,如果不一致就拒绝修改。

不过,如果当前脚本属主是hostuser,要删除属主是nobody的uploads目录下的文件,一旦safe_mode打开,就不能写了。

所以safe_mode默认是不打开的,

其替代方案为:

php_admin_value open_basedir /docroot 限制每个用户只能访问自己的文件。这里的docroot是程序的根目录,不是程序下的cache或uploads目录。如果不是根目录,PHP程序都无法访问。

3. (不一定能保证)所有PHP程序脚本能过滤Remote Code Execution和Local File Include攻击。否则黑客仍有可能读取config.php中的密码,或者直接读写cache或uploads目录中的内容。

cache目录中不可存放类似用户密码之类的数据。

4. expose_php设为off ,这样php不会在http文件头中泄露PHP的版本号。