是否有任何特殊的步骤,应该采取保护画廊 ? 具体来说,我目前已经安装了Fedora RPM gallery2-2.3-1.fc8 。 我在目标模式下启用了selinux ,这是一个很好的保护层。 我find了Gallery 安全文档 。 我只是想知道还有什么我应该看看,以确保这是安全的,防止外部攻击。
我对本地攻击的担心远不如以前。 我只是想确保公开的互联网不会让我的服务器被黑客攻击。
Gallery已经筹集了核心软件包的安全审计费用。 他们做得很好。 比如,我会比他们更信任他们。 这两个产品确实遭受同样的问题,没有一个插件是沙盒,往往是愚蠢的东西。 保持插件(核心或最stream行的插件),你会没事的。
当然,尝试以不同的用户身份运行每个应用程序,以包含安全漏洞。 并将图库数据文件夹保留在文档根目录之外。 画廊也喜欢记忆,所以如果你可以把你的PHP内存限制一点点,它总是提高性能。
画廊安全文档是相当彻底的; 如果你确保Gallery的安全,那么你最关心的应该是其他的攻击方式,比如php本身或者ssh中的bug,或者其他你正在运行的其他服务。
画廊本身似乎相当安全,只要确保您运行最新的稳定版本,并保持更新。
同意; 画廊团队很好地维护他们的代码。
也就是说,任何PHP应用程序的最佳安全性是服务器本身。 确保你没有以root身份运行Apache,不要浪费时间和所谓的safe_mode,禁用目录索引,不要把备份文件(如vi的foo.bar〜文件放在configuration文件中包含你的mysql密码的地方可能被存储)周围。
在启用SELinux目标策略的情况下,您应该确认您的networking所面临的(或面向本地用户的)服务正在运行的SELinux环境/域。 试试ps的-Z选项。 如果是unconfined_u:unconfined_r:unconfined_t,那对你来说没什么用处。 您可以通过安装正确的策略模块来安装(请参阅seinfo,semanage,semodule等工具)。 如果您没有为服务/应用程序定义的策略,那么您需要创build自己的。 现在存在的工具可以帮助你,比如SLIDE(eclipse插件)和seedit。 您需要查看您的审计日志(通常是/var/log/audit/audit.log)