尝试在共享主机上保护网站(LAMP和WordPress),这是受到制药公司侵害的受害者; 我build议网站所有者遵循WordPress的最佳做法从这里http://codex.wordpress.org/Hardening_WordPress和有这个命令使文件只读为所有者以外的所有者 find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \; 但是我跑了<?php echo exec('whoami'); ?> 发现apache用户正在以网站所有者用于SFTP的同一用户身份运行。 所以Apache作为文件所有者运行。 这看起来像一个巨大的安全问题,因为任何网站所有者可以做,Wordpress插件可以做! 我是否正确,这是东道国应该解决的问题? 如果他们有抵触情绪,我可以说什么来说服他们,这是一个足够大的问题,以保证改变主机? 更新:为了清楚起见,我正在讨论有效保护网站本身。 为了阻止在服务器上编写/编辑代码的插件漏洞,如果Web服务器作为站点所有者运行,那么插件可以被操纵为安装任意代码并修改.htaccess 更新2:当我说“安全漏洞”时,我可能意味着“漏洞”
今天,我会问一些比平时技术要差的东西。 的确,这或多或less是一个修辞性的问题,但我很乐意阅读你对这个话题的build议。 在我的日常工作中,我必须处理大量的Web服务器和SSL证书。 在这个工作上,我也必须要处理安全问题,如果你想在安全和浪费时间之间find一个很好的平衡点,这不是很简单。 所以,问题是: 你有没有一个方法能够重新启动你的NGinx / Apache /等Web服务器,而不需要在控制台前的操作员input证书的密码? 我的意思是,我已经有了解决scheme来纯粹地删除密码以使该过程自动化,但是这听起来有点令人毛骨悚然,特别是如果我的服务器被破坏(在运行状态下,所有数据都被encryption)将能够在没有任何密码保护的情况下检索和使用证书。 其他信息:我不能使用发行版提供的原始脚本来启动服务。 我们大多使用NGINXnetworking服务器来处理前端请求和SSL。 我们不想使用Varnish或任何其他SSL优化器。
在我的服务器(Windows Server 2008 R2)上,我安装了几个带有Web界面的程序。 因为我希望能够从局域网外部访问这些Web界面,所以相关的端口在Windows防火墙中打开并在我的路由器中转发。 大多数这些程序使用集成的Apache Web服务器来实现他们的Web前端。 在默认configuration中,此Web服务器安装为在用户帐户“LOCAL-SYSTEM”下作为Windows服务运行。 不过,我想知道,如果我可以通过更改用户帐户这些服务运行提高安全性。 我已经尝试了这种应用程序的混合成功之一:找出用户帐户需要读取和/或写入权限的目录是一个麻烦。 这是值得的吗? 在更受限制的用户帐户下运行Apache是否实际上增加了安全性,或者是默认configuration“足够安全”?
我的目标是在多个IP地址上有多个SSL站点,但是我正在为Apache设置而苦苦挣扎: // I want this: http + https example.com http + https example.net // On these IPs: http example.com 1.1.1.1:80 http example.net 1.1.1.1:80 https example.com 2.2.2.2:443 https example.net 3.3.3.3:443 请注意,所有4个站点的DocumentRoot都不相同。 在我目前的Apache设置中,当客户端访问https://example.com时 ,Apache提供了1.1.1.1(连接被拒绝,假设为443)而不是2.2.2.2:443。 https://example.net (而不是3.3.3.3:443)也是如此。 我认为这是因为我的DNSlogging@和www指向1.1.1.1。 非SSL 1.1.1.1基于名称的虚拟主机正常工作。 我不确定这是否是 Apache的行为。 所以我的问题的核心是, “这是预期的Apache的行为?如果是这样,有人可以给我一个例子,看看在这种情况下的IP应该是http和https example.com应该在一个IP而不是我分裂他们像这样? 我的httpd.conf是这样的: # http example.com and http example.net: Listen 1.1.1.1:80 # https example.com: Listen […]
例如,我想要foobar.com显示FooBar.com 这几乎工作,但结束了强制redirect循环: RewriteEngine On RewriteCond %{HTTP_HOST} ^(www.)?foobar.com\.com RewriteRule ^(.*)$ http://FooBar.com/$1 [L,R=301] 有没有办法做到这一点? 我知道这很奇怪,但我只是好奇,如果有可能没有结束在一个循环。
我们有一个服务器上运行的几个网站。 (CentOS,Hostgator“精英”)一些网站相当大,我们的主要网站足够大,谷歌索引> 100万页。 我抱怨HG(我有一个托pipe的专用服务器)关于一些图像不加载,即使他们在服务器上。 刷新页面通常会允许加载这些图像。 这并不总是相同的图像失败,这是有点随意的。 我在这个服务器上至less有3个我们的网站上看到过这种情况。 他们build议我将MPM模块更改为prefork,因为它处理内存有点不同 我在网上find了build议,帮助我确定我的服务器当前正在运行worker.c。 一些图像通过一个php脚本来发送一个jpg头文件,然后执行readfile($filename); 为这些图像提供服务,但这不仅仅是我看过这个问题的图像。 build议转换为prefork一个好主意? 这可能有助于解决我遇到的问题吗?
我发现我需要添加另一台服务器到我的设置,但我的Web应用程序是用PHPdevise的。 基本上,在我的应用程序中,有一个mkdir命令为用户创build一个目录。 如果我有负载平衡器,则负载平衡器可能不会将请求发送到最初创build目录的服务器。 这是什么解决scheme? 我想用haproxy和apache。 我在想,有一种方法可以将请求分配给特定的服务器,每次他们访问应用程序时都会被指示。
我有一个重复的身份validation块为我的每个库,并想知道,如果有一种方法来重用块和优化我们的设置。 这个设置使我们能够浏览到code.domain.com来查看所有的存储库并浏览源代码(所有的存储库都可以读取)。 这是我目前的configuration: <VirtualHost *:80> DocumentRoot /u01/subversion/repositories ServerName code.domain.com ServerAdmin [email protected] <Location /> Options Indexes MultiViews FollowSymLinks IncludesNoExec Order allow,deny Allow from all </Location> <Location /repoA> DAV svn SVNPath /u01/subversion/repositories/repoA SVNIndexXSLT "/share/svnxslt/svnindex.xsl" AuthzSVNAccessFile /u01/subversion/svnrepos.acl AuthName "Source Code Repository / Repertoire de code" AuthBasicProvider ldap AuthType Basic AuthzLDAPAuthoritative off AuthLDAPURL "ldap://domain.com?sAMAccountName" NONE AuthLDAPBindDN "bindDN" AuthLDAPBindPassword bindPwd […]
我运行一个相当繁忙(70万页的浏览量/日,PHP / MySQL)网站,获得稳定的stream量(通常没有尖峰)。 在过去的两天,在高峰使用时间附近,大约一个小时,我的网站突然从非常快到没有反应,大约一个小时,然后回到超快。 凌晨2点10分,CPU负载剧增: 12:00:01 AM runq-sz plist-sz ldavg-1 ldavg-5 ldavg-15 12:10:01 AM 1 270 2.54 3.56 4.00 12:20:01 AM 10 270 5.58 5.09 4.61 12:30:01 AM 9 297 10.06 9.63 7.22 12:40:01 AM 7 296 3.42 5.17 6.15 12:50:02 AM 8 291 4.36 4.57 5.43 01:00:02 AM 20 297 9.38 7.57 6.49 01:10:01 […]
我已经configuration了一个从apache2代理到tomcat6所有工作,简单,但我有一个问题,当我从我的tomcat应用程序,我需要redirect到一个JSP,这是我用ProxyPass指令configuration的目录之外。 这是我有: ProxyRequests Off ProxyPreserveHost On ProxyPass / http://127.22.22.1:8080/jsp/app/crm/ ProxyPassReverse / http://127.22.22.1:8080/jsp/app/crm/ 我需要redirect到一个文件是http://127.22.22.1:8080/ut/disable.jsp ,当它redirect到我得到: /ut/disable.jsp?error=The%20user%20can't%20access%20the%20page HTTP/1.1" 404 1084 我怎样才能启用其他目录的其他文件进行代理? 只是从jsp/app/crm/目录内?