时间:2021-05-19
. proftpd建立hostuser/hostuser帐号,所有用户均映射到该帐号。
htdocs/hosts 目录属主也为hostuser
这样用户使用FTP上传的文件属性为hostuser(644 755)。
将FTP锁定用户在自己的主目录下。
apache以nobody运行(以独立apache用户更好),读hostuser的脚本文件。
对于要写入的目录uploads和cache,必须设定777,且循环设定其子目录。两个目录禁止脚本执行(.htaccess:php_flag engine off)。这样即使黑客上传webshell到这两个目录,也无法执行。
这样cache或uploads中的新文件的属主将是nobody
cache目录要限制对外访问。
这里存在一个问题,就是apache生成的文件和目录644和755,当proftpd以hostuser:hostuser运行时,用户是无法删除cache或uploads中的内容的。
解决方法:
(1) 在PHP程序中chmod文件和目录分别为666和777
以adodb为例,需修改adodb.inc.php文件1681行if (!mkdir($dir,0771)) 和adodb-csvlib.inc.php文件287行chmod($tmpname,0644);两个地方
(2) 让用户在系统里面清空cache和uploads
2. PHP safe_mode,它的主要作用是读写文件时会检查当前脚本和要读写或修改的文件属主是否一致,如果不一致就拒绝修改。
不过,如果当前脚本属主是hostuser,要删除属主是nobody的uploads目录下的文件,一旦safe_mode打开,就不能写了。
所以safe_mode默认是不打开的,
其替代方案为:
php_admin_value open_basedir /docroot 限制每个用户只能访问自己的文件。这里的docroot是程序的根目录,不是程序下的cache或uploads目录。如果不是根目录,PHP程序都无法访问。
3. (不一定能保证)所有PHP程序脚本能过滤Remote Code Execution和Local File Include攻击。否则黑客仍有可能读取config.php中的密码,或者直接读写cache或uploads目录中的内容。
cache目录中不可存放类似用户密码之类的数据。
4. expose_php设为off ,这样php不会在http文件头中泄露PHP的版本号.
Tips:Linux下默认文件和目录的mod为 文件644 目录755 (即666-22 777-22)umask 22
声明:本页内容来源网络,仅供用户参考;我单位不保证亦不表示资料全面及准确无误,也不保证亦不表示这些资料为最新信息,如因任何原因,本网内容或者用户因倚赖本网内容造成任何损失或损害,我单位将不会负任何法律责任。如涉及版权问题,请提交至online#300.cn邮箱联系删除。
虚拟主机是网站运行的必要设施之一,现在虚拟主机比较多,很多人在选择虚拟主机时比较纠结,不知道从哪些方面入手,虚拟主机配置要注意什么?虚拟主机如何选择?下面就来给
海外云虚拟主机目前在国内使用的比较多,使用海外云虚拟主机要注意挑选合适的产品,在使用的过程中要注意一些问题。海外云虚拟主机什么意思?云海外虚拟主机管理要注意什么
企业选择虚拟主机要考虑什么?有什么要注意的?虚拟主机的广泛使用使得现在很多人都对虚拟主机有了一定的了解,其中大家在选择虚拟主机时对于虚拟主机的管理系统却不知道要
虚拟主机都知道吧!对于技术人员来说一点都不陌生,想要网站运作起来虚拟主机不可少。那你知道虚拟主机怎么购买吗?购买虚拟主机需要注意什么呢?下面跟随小编来看一看吧!
首先我们给虚拟主机加上伪静态规则,Apache和IIS的详细设置如下,虚拟主机是否支持伪静态,请咨询你的虚拟主机提供商。如果是Apache的服务器,就在.hta