论坛徽章:: 0

51楼 [报告]

发表于 2008-10-10 10:12 |只看该作者

FreeBSD没有那么柔弱。
1，安装VSFTP后使用
vsguest

:502:502::/var/vsftpd:/sbin/nologin 不可以给登陆shell权限。
2.apache的WEB目录755的权限就可以了。当然是看web目录是属于那个用户了，一般为vsftpd or apache or nobody 。
现在还没有听说freebsd有溢出漏洞可以获得ROOT权限，。除非你wheel组的用户设置了sudo NOPASSWOED的权限。然后被对方改密码。要麽就是你密码太简单了，被人抓shadow文件然后把密码跑出来了，关键是shadow是root只读写。普通用户是看不到的。
如果你的apache是用root用户跑起来的话。那就无话可说了
apache

:48:48::/usr/local/apache:/sbin/nologin
User apache
Group apache

最好用nobody用户跑apache.不过效果一样，。无所谓，。
php_admin_value open_basedir /opt/vsftpd/web:/tmp:/tmp:/dev/shm

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

smilecat

丰衣足食

论坛徽章:: 0

52楼 [报告]

发表于 2008-10-10 16:41 |只看该作者

服务器上面打开了pf防火墙,不过是挂的模块,没有重新编译内核,现在我也不知道防火墙是不是正常,大家帮我看看
ext_if="bge0"
web="{127.0.0.1}"
ports="{80}"

###block this IP if threads from the IP more than allowd###
table <abusive_hosts> persist
block in quick on $ext_if inet proto tcp from <abusive_hosts> to $web port 80
pass in quick on $ext_if proto tcp from any to $web port 80 flags S/SA keep \
state (max-src-conn 100, max-src-conn-rate 3/1, max-src-states 5 overload \
<abusive_hosts> flush)
就只用了这一点点配置,感觉好像连接还是挺多的,
www# pfctl -si
No ALTQ support in kernel
ALTQ related functions disabled
Status: Enabled for 0 days 00:19:27          Debug: Urgent

State Table                         Total          Rate
  current entries                      0
  searches                         128597       110.2/s
  inserts                               0          0.0/s
  removals                            15          0.0/s
Counters
  match                            128597       110.2/s
  bad-offset                            0          0.0/s
  fragment                            0          0.0/s
  short                               0          0.0/s
  normalize                            0          0.0/s
  memory                               0          0.0/s
  bad-timestamp                         0          0.0/s
  congestion                            0          0.0/s
  ip-option                            0          0.0/s
  proto-cksum                         1          0.0/s
  state-mismatch                      0          0.0/s
  state-insert                         0          0.0/s
  state-limit                         0          0.0/s
  src-limit                            0          0.0/s
  synproxy                            0          0.0/s
后面的的rate越来越大啊,感觉很恐怖啊!