web服务器安全问题（大问题）

rd16

UID: 40828
帖子: 83
积分: 190
在线时间: 9 小时

1^# rd16 发表于 2008-09-23 11:38

web服务器安全问题（大问题）

我想做一台WEB服务器，配置好了php5+proftpd ，之后发现随便上传一个什么“黑狼PHP木马”木马都可以看到一些系统文件内容

如何是好？？？？

在WINDOWS服务器上可以设置单独的程序池，再用不同的用户来跑这个程序池。
而LINUX这方面的文章很少，我几乎没有搜索到实用的 WEB服务器安全之类的文章。

<VirtualHost 192.168.1.2:80>
ServerAdmin webmaster@dummy-host.example.com
DocumentRoot "/home/www/a2.com"
ServerName a2.com
ServerAlias www.a2.com
ErrorLog "logs/a2.com-error_log"
CustomLog "logs/a2.com-access_log" common

   <Directory "/home/www/a2.com/">
      PHP_admin_value open_basedir /home/www/a2.com/
   </Directory>

</VirtualHost>

其实上面那样是限制不了访问其它目录的，我上传木马后，再点“webshell“，再运行 less /lib/lsb/init-functions 是可以看到这个文件内容的。

不知道大家是怎么处理WEB安全问题的，传说中LINUX是比WINDOWS安全。

智勇双全

UID: 17276
帖子: 1
积分: 2
在线时间: 10 分钟

2^# 智勇双全发表于 2008-09-25 09:31

这就是你apache权限给予的太大了。

level

UID: 45523
帖子: 24
积分: 55
在线时间: 10 分钟

3^# level 发表于 2008-09-25 15:19

首先 WINDOWS下能实现的WWW功能，在LINUX下，均可以实现
其次，就你说的问题来看，应该是你的权限设置的问题

fytigerzq

UID: 38517
帖子: 144
积分: 331
在线时间: 1 天 4 小时

4^# fytigerzq 发表于 2008-11-17 20:02

这是多用户的安全问题，也是linux最需要处理的。
在单用户下不会有这问题的。

badb0y

UID: 13566
帖子: 2
积分: 4
在线时间: 10 分钟

5^# badb0y 发表于 2008-11-18 09:15

应该是权限问题,,如果你的虚拟主机用的一个用户,那应该是所有的数据都能看

minuteman

UID: 27859
帖子: 1
积分: 2
在线时间: 10 分钟

6^# minuteman 发表于 2008-11-19 13:07

对linux下的情况不是很清楚，有比较详细的多用户虚拟主机安全设置教程么？

xinglp

UID: 33073
帖子: 80
积分: 184
在线时间: 9 小时

7^# xinglp 发表于 2008-11-20 13:25

那个LAMP组合包里面的配置挺安全的