1. proftpd建立hostuser/hostuser帐号,所有用户均映射到该帐号。
htdocs/hosts 目录属主也为hostuser
这样用户使用FTP上传的文件属性为hostuser(644 755)。
将FTP锁定用户在自己的主目录下。
apache以nobody运行(以独立apache用户更好),读hostuser的脚本文件。
对于要写入的目录uploads和cache,必须设定777,且循环设定其子目录。两个目录禁止脚本执行(.htaccess:php_flag engine off)。这样即使黑客上传webshell到这两个目录,也无法执行。
这样cache或uploads中的新文件的属主将是nobody
cache目录要限制对外访问。
这里存在一个问题,就是apache生成的文件和目录644和755,当proftpd以hostuser:hostuser运行时,用户是无法删除cache或uploads中的内容的。
解决方法:
(1) 在PHP程序中chmod文件和目录分别为666和777
以adodb为例,需修改adodb.inc.php文件1681行if (!mkdir($dir,0771)) 和adodb-csvlib.inc.php文件287行chmod($tmpname,0644);两个地方
(2) 让用户在系统里面清空cache和uploads
2. PHP safe_mode,它的主要作用是读写文件时会检查当前脚本和要读写或修改的文件属主是否一致,如果不一致就拒绝修改。
不过,如果当前脚本属主是hostuser,要删除属主是nobody的uploads目录下的文件,一旦safe_mode打开,就不能写了。
所以safe_mode默认是不打开的,
其替代方案为:
php_admin_value open_basedir /docroot 限制每个用户只能访问自己的文件。这里的docroot是程序的根目录,不是程序下的cache或uploads目录。如果不是根目录,PHP程序都无法访问。
3. (不一定能保证)所有PHP程序脚本能过滤Remote Code Execution和Local File Include攻击。否则黑客仍有可能读取config.php中的密码,或者直接读写cache或uploads目录中的内容。
cache目录中不可存放类似用户密码之类的数据。
4. expose_php设为off ,这样php不会在http文件头中泄露PHP的版本号.
Tips:Linux下默认文件和目录的mod为 文件644 目录755 (即666-22 777-22)umask 22
分享到:
相关推荐
Linux下Apache+Proftpd构建虚拟主机时要注意的几个安全问题,大家可以参考下,有其它未完整的地方,大家可以补充下。
Debian 5.0 下的 proftpd + mysql虚拟用户认证配置 详细配置文档,能够正常通过mysql数据库中用户信息登录ftp服务器,测试通过!
提供Linux系统下proftp安装,配置。
CentOS下通过yum安装ProFTPd,建立虚拟用户库,启用虚拟用户登录过程记录
架设LINUX-FTP服务的压缩包proftpd,具体安装方式网上有
proftpd虚拟用户挂载多个目录
proftpd 1.3.2 for linux complie ./configure make make install
proftpd + mysql + quota配置完全指南proftpd + mysql + quota配置完全指南proftpd + mysql + quota配置完全指南proftpd + mysql + quota配置完全指南
实现以下功能 1.配置FTP服务器,能够...限制每个IP只能用3个进程连接; c.最大支持500用户连接服务器; d.ftp用户只能上传,不能下载,不能删除,不能改名字。 e.teacher用户具有各种功能(下载,上传,删除,改名等);
proftpd1.2 linux下的ftp服务器软件,安装后可以用作ftp服务器使用,此服务器较为流行,安全性好,配置和apache的配置类似,只要更改相应的配置文件就可以进行配置
proftpd全称:Professional FTP daemon,是针对Wu-FTP的弱项而开发的,除了改进的安全性,还具备许多Wu-FTP没有的特点,能以Stand-alone、xinetd模式运行等。ProFTP已经成为继Wu-FTP之后最为流行的FTP服务器软件,...
NULL 博文链接:https://lgcjava.iteye.com/blog/1992334
xampp for Linux 1.6.6 (Apache 2.2.8+MySQL 5.0.51a+PHP 5.2.5+phpMyAdmin 2.11.4+ProFTPD 1.3.1)
目前Linux下FTP服务器软件主要有Wu-FTP和ProFTPD两种。 Wu-FTP是Red Hat Linux预装软件,但安全漏洞很多。ProFTPD针对Wu-FTP的弱项而开发,除改进了安全性外,还具备许多特点,如设置简单、能以Stand- alone模式运行...
绍Linux下proftpd的安装配置与管理方法。
proftpd支持mysql和quota配额
本章主要介绍电子邮件系统、Linux下的电子邮件系统,以及建立Linux下的邮件服务器。 第16章:DNS服务器。本章主要介绍DNS工作的原理、Linux下的域名服务器系统以及BIND的安装与配置等内容。详细叙述了主DNS服务器和...
教会你怎么利用ProFtpd服务(FTP)
请参阅README.ports文件,以了解有关已知或认为在其上构建和运行ProFTPD的平台的更多详细信息。 ProFTPD源自对安全和可配置FTP服务器的需求。 它的灵感来自对Apache Web服务器的钦佩。 与大多数其他Unix FTP服务器...