关于FreeBSD的WEB安全设置问题

flfq

我想问一下，默认情况下apache和mysql是运行在哪个权限下的？？是root权限？？

因为最近网站要开放，以前在windows下，我是让凡是可以上传的目录都没有运行ASP的权限，而有运行ASP权限的目录全部都不可以上传，这样可以让ASP程序有漏洞的情况下,仍然保持服务器的安全.

而发现FreeBSD下好像这个思路行不通，有的论坛，有很多目录都必须有上传且运行PHP的权限，这个好像安全不好做.

而且怕被人用mysql提升权限

所以想讨教一下,大家是怎么做这类安全的

[ 本帖最后由 flfq 于 2008-10-14 03:40 编辑 ]

Cyberman.Wu

用Ports安装Apache是创建了一个www用户，而MySQL是创建一个mysql用户。MySQL连接时一定不要用root用户，因为MySQL的SQL注入最常用的是loadfile和into outfile，而在5.x中是只有root才能执行这些操作的（4.x应该是没限制的，反正我测试过的版本没限制）。
如果真的想系统很安全的话，可以考虑应用FreeBSD的Jail，不过这个我只编译过一次，没怎么测试过，所以不能给你进一步的建议，在它的官网上有一些关于Jail应用的文章的。
话说回来，这个和FreeBSD还是Windows、PHP还是ASP没什么关系吧，只是应用和设计的问题，不管是用什么手段，你如果允许上传程序并且允许程序读文件系统，就算是应用了Jail，至少网站本身还是可以被修改或至少查看的。
如果没有执行程序的必要，可以在PHP中用safe mode或安全扩展suhosin限制对于一些函数的执行。