Apache+Proftpd虚拟主机的安全题目

核心提示：对要写进的目录uploads和cache，必须设定777，且循环设定其子目录。两个目录制止脚本履行（.htaccess:php_flag engine off）。这样即使黑客上传webshell到这两个目录，也没法履行。

1. proftpd建立hostuser/hostuser帐号，所有用户均映照到该帐号。

htdocs/hosts 目录属主也为hostuser

这样用户使用FTP上传的文件属性为hostuser（644 755）。

将FTP锁定用户在自己的主目录下。

apache以nobody运行（以独立apache用户更好），读hostuser的脚本文件。

对要写进的目录uploads和cache，必须设定777，且循环设定其子目录。两个目录制止脚本履行（.htaccess:php_flag engine off）。这样即使黑客上传webshell到这两个目录，也没法履行。

这样cache或uploads中的新文件的属主将是nobody

cache目录要限制对外访问。

这里存在1个题目，就是apache天生的文件和目录644和755，当proftpd以hostuser:hostuser运行时，用户是没法删除cache或uploads中的内容的。

解决方法：

（1） 在PHP程序中chmod文件和目录分别为666和777

以adodb为例，需修改adodb.inc.php文件1681行if （！mkdir（$dir，0771）） 和adodb-csvlib.inc.php文件287行chmod（$tmpname，0644）;两个地方

（2） 让用户在系统里面清空cache和uploads

2. PHP safe_mode，它的主要作用是读写文件时会检查当前脚本和要读写或修改的文件属主是否是1致，假设不1致就拒尽修改。

不过，假设当前脚本属主是hostuser，要删除属主是nobody的uploads目录下的文件，1旦safe_mode打开，就不能写了。

所以safe_mode默许是不打开的，

其替换方案为：

php_admin_value open_basedir /docroot 限制每个用户只能访问自己的文件。这里的docroot是程序的根目录，不是程序下的cache或uploads目录。假设不是根目录，PHP程序都没法访问。

3. （不1定能保证）所有PHP程序脚本能过滤Remote Code Execution和Local File Include攻击。否则黑客仍有可能读取config.php中的密码，或直接读写cache或uploads目录中的内容。

cache目录中不可寄存类似用户密码之类的数据。

4. expose_php设为off ，这样php不会在http文件头中泄漏PHP的版本号。

评论加载中... 内容： 评论者： 验证码：