Linux Apache+Proftpd构建虚拟主机时要注意的几个安全问题

2020-04-16 19:24:47

字体：大中小

来源：转载

供稿：网友

. proftpd建立hostuser/hostuser帐号，所有用户均映射到该帐号。
htdocs/hosts 目录属主也为hostuser
这样用户使用FTP上传的文件属性为hostuser（644 755）。
将FTP锁定用户在自己的主目录下。

apache以nobody运行（以独立apache用户更好），读hostuser的脚本文件。
对于要写入的目录uploads和cache，必须设定777，且循环设定其子目录。两个目录禁止脚本执行(.htaccess:php_flag engine off)。这样即使黑客上传webshell到这两个目录，也无法执行。
这样cache或uploads中的新文件的属主将是nobody
cache目录要限制对外访问。

这里存在一个问题，就是apache生成的文件和目录644和755，当proftpd以hostuser:hostuser运行时，用户是无法删除cache或uploads中的内容的。
解决方法：
(1) 在PHP程序中chmod文件和目录分别为666和777
以adodb为例，需修改adodb.inc.php文件1681行if (!mkdir($dir,0771)) 和adodb-csvlib.inc.php文件287行chmod($tmpname,0644);两个地方
(2) 让用户在系统里面清空cache和uploads

2. PHP safe_mode，它的主要作用是读写文件时会检查当前脚本和要读写或修改的文件属主是否一致，如果不一致就拒绝修改。
不过，如果当前脚本属主是hostuser，要删除属主是nobody的uploads目录下的文件，一旦safe_mode打开，就不能写了。
所以safe_mode默认是不打开的，

其替代方案为：

php_admin_value open_basedir /docroot 限制每个用户只能访问自己的文件。这里的docroot是程序的根目录，不是程序下的cache或uploads目录。如果不是根目录，PHP程序都无法访问。

3. (不一定能保证)所有PHP程序脚本能过滤Remote Code Execution和Local File Include攻击。否则黑客仍有可能读取config.php中的密码，或者直接读写cache或uploads目录中的内容。
cache目录中不可存放类似用户密码之类的数据。

4. expose_php设为off ,这样php不会在http文件头中泄露PHP的版本号.

Tips：Linux下默认文件和目录的mod为文件644 目录755 （即666-22 777-22）umask 22

您可能感兴趣的文章:

linux proftpd-1.3.4c安装配置实例linux下用Proftpd搭建ftp服务器及配置方法linux下讲解MySQL安装与登录方法linux正确重启MySQL的方法linux之cut命令的用法Linux tar 压缩打包命令使用方法Linux 入门常用命令 password — 修改密码，改变用户linux下mysql提示"mysql deamon failed to start"错误的解决方法Linux shell脚本编程if语句的使用方法(条件判断)linux mysql 报错：MYSQL:The server quit without updating PID fileLinux ProFTPd安装与卸载详细介绍

上一篇：Apache 安装和使用文档

下一篇：解決安裝了apache却找不到服务的问题