免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 3154 | 回复: 8
打印 上一主题 下一主题

[Web] web服务器安全问题(大问题) [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2008-09-23 11:38 |只看该作者 |倒序浏览
我想做一台WEB服务器, 配置好了php5+proftpd ,之后发现随便上传一个什么“黑狼PHP木马”木马都可以看到一些系统文件内容

如何是好????

在WINDOWS服务器上可以设置单独的程序池,再用不同的用户来跑这个程序池。
而LINUX这方面的文章很少,我几乎没有搜索到实用的 WEB服务器安全 之类的文章。



<VirtualHost 192.168.1.2:80>
    ServerAdmin webmaster@dummy-host.example.com
    DocumentRoot "/home/www/a2.com"
    ServerName a2.com
    ServerAlias www.a2.com
    ErrorLog "logs/a2.com-error_log"
    CustomLog "logs/a2.com-access_log" common

      <Directory "/home/www/a2.com/">
        PHP_admin_value   open_basedir   /home/www/a2.com/
      </Directory>


</VirtualHost>


其实上面那样是限制不了访问其它目录的,我上传木马后,再点“webshell“,再运行 less /lib/lsb/init-functions 是可以看到这个文件内容的。



不知道大家是怎么处理WEB安全问题的,传说中LINUX是比WINDOWS安全。

论坛徽章:
0
2 [报告]
发表于 2008-09-25 09:31 |只看该作者
这就是你apache权限给予的太大了。

论坛徽章:
0
3 [报告]
发表于 2008-09-25 15:19 |只看该作者
首先 WINDOWS下能实现的WWW功能,在LINUX下,均可以实现
其次,就你说的问题来看,应该是你的权限设置的问题

论坛徽章:
0
4 [报告]
发表于 2008-11-17 20:02 |只看该作者
这是多用户的安全问题,也是linux最需要处理的。
在单用户下不会有这问题的。

论坛徽章:
2
2015年辞旧岁徽章
日期:2015-03-03 16:54:1515-16赛季CBA联赛之上海
日期:2016-05-05 09:45:14
5 [报告]
发表于 2008-11-18 09:15 |只看该作者
应该是权限问题,,如果你的虚拟主机用的一个用户,那应该是所有的数据都能看

论坛徽章:
0
6 [报告]
发表于 2008-11-19 13:07 |只看该作者
对linux下的情况不是很清楚,有比较详细的多用户虚拟主机安全设置教程么?

论坛徽章:
5
2015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:53:172015亚冠之水原三星
日期:2015-06-02 16:34:202015年亚冠纪念徽章
日期:2015-10-19 18:13:37程序设计版块每日发帖之星
日期:2015-11-08 06:20:00
7 [报告]
发表于 2008-11-20 13:25 |只看该作者
那个LAMP组合包里面的配置挺安全的

论坛徽章:
0
8 [报告]
发表于 2009-04-20 10:40 |只看该作者
汗,大家都不知道怎么解决吗???

一台服务器不可能只有一个站点吧,也不可能只有一个用户吧。

论坛徽章:
0
9 [报告]
发表于 2009-04-21 13:44 |只看该作者
要小心木马。
通常我在linux下面都会对目录控制
<Directory "/web">
    Options FollowSymLinks
    AllowOverride None
    Order allow,deny
    Allow from all
    Options -Indexes
</Directory>

用单独的apache用户启动,不要用root启动哦。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP