web服务器安全问题（大问题）

rd16

我想做一台WEB服务器， 配置好了php5+proftpd ，之后发现随便上传一个什么“黑狼PHP木马”木马都可以看到一些系统文件内容

如何是好？？？？

在WINDOWS服务器上可以设置单独的程序池，再用不同的用户来跑这个程序池。
而LINUX这方面的文章很少，我几乎没有搜索到实用的 WEB服务器安全 之类的文章。



<VirtualHost 192.168.1.2:80>
    ServerAdmin webmaster@dummy-host.example.com
    DocumentRoot "/home/www/a2.com"
    ServerName a2.com
    ServerAlias www.a2.com
    ErrorLog "logs/a2.com-error_log"
    CustomLog "logs/a2.com-access_log" common

      <Directory "/home/www/a2.com/">
        PHP_admin_value   open_basedir   /home/www/a2.com/
      </Directory>


</VirtualHost>


其实上面那样是限制不了访问其它目录的，我上传木马后，再点“webshell“，再运行 less /lib/lsb/init-functions 是可以看到这个文件内容的。



不知道大家是怎么处理WEB安全问题的，传说中LINUX是比WINDOWS安全。

智勇双全

这就是你apache权限给予的太大了。

level

首先 WINDOWS下能实现的WWW功能，在LINUX下，均可以实现
其次，就你说的问题来看，应该是你的权限设置的问题

fytigerzq

这是多用户的安全问题，也是linux最需要处理的。
在单用户下不会有这问题的。

badb0y

应该是权限问题,,如果你的虚拟主机用的一个用户,那应该是所有的数据都能看

minuteman

对linux下的情况不是很清楚，有比较详细的多用户虚拟主机安全设置教程么？

xinglp

那个LAMP组合包里面的配置挺安全的

rd16

汗，大家都不知道怎么解决吗？？？

一台服务器不可能只有一个站点吧，也不可能只有一个用户吧。

dashan79

要小心木马。
通常我在linux下面都会对目录控制
<Directory "/web">
    Options FollowSymLinks
    AllowOverride None
    Order allow,deny
    Allow from all
    Options -Indexes
</Directory>

用单独的apache用户启动，不要用root启动哦。