在Arch Linux上运行Apache 2.4.10。 我试图限制一个SFTP用户只能访问他的主目录,在虚拟主机目录下的一个公用文件夹,而不能访问该虚拟主机目录。 现在,当我以用户身份login时,我仍然可以遍历目录树,并且浏览整个文件系统。 以下是当前权限: drwxr-xr– 6 vhostname vhostname 4096 Apr 23 19:17 . drwxrwxr-x 25 root root 4096 Apr 23 18:43 .. -rw-r–r– 1 vhostname vhostname 21 Apr 23 18:43 .bash_logout -rw-r–r– 1 vhostname vhostname 57 Apr 23 18:43 .bash_profile -rw-r–r– 1 vhostname vhostname 141 Apr 23 18:43 .bashrc drwx–x–x 2 vhostname vhostname […]
我正在用Apache2和PHP 7.0与FastCGIbuild立一个suexec环境。 我已经安装了一切正常的方式 Aptitude install libapache2-mod-fcgid apache2-suexec-custom A2enmod suexec 我的服务器有以下结构: 有用户在/ home / username / public_html /(linux用户“ 用户名 ”) 在/ data / www /(用户“主页”)中有一个主要的网站。 到目前为止,SuEXEC的工作,但有一个主要的问题:由于某种原因,suEXEC查询/ etc / apache2 / suexec /万维网数据而不是/ etc / apache2 / suexec /用户名,因此我只能有我的网站/数据工作,或在/在家工作的网站,但不是两个。 我不明白,因为我的服务器上没有脚本是由万维网数据拥有。 / etc / apache2 / suexec / www-data(不变,因为我不使用www-data) /var/www public_html/cgi-bin 在/ etc / apache2的/ suexec的/主页 /data www/cgi-bin […]
我的客户的网站最近遭到了破坏,他们正在寻求缓解这一风险。 他们有专门的服务器运行Apache和mod_php。 该网站由三个独立的php应用程序安装在不同的文件夹(客户门户脚本,wordpress和自定义的数据库驱动的脚本)。 他们的安全审计build议将每个脚本隔离开来,这样如果其中任何一个被黑掉了,另外两个脚本就不会被污损等等。他们还build议使用fast-cgi而不是mod_php。 Suexec也被提到,虽然不清楚为什么这被推荐。 有人可以确认,如果这是有道理的,实际上是可行的/可行的。 如果是这样,那么实现所提议的安全解决scheme的最佳方式是什么?
我正在创build一个需要一些cPanel / webmintypesfunction的内部工具,但这不是我可以使用其中一种 现在我需要能够通过PHP创buildLinux用户,组和目录。 这是我现在所拥有的: 用户的/ bin中的useradd / groupadd / chpasswd副本,由root用户提供。 权限设置为只有root用户和特定的组可以访问它们(用户所在的组)。 如果我从命令行运行它,它工作正常,但我希望能够使用suexec来访问这些,但似乎PHP不会与suexec一起工作,除非我通过CGI运行它,而我并不想这么做。 我也可以让wwwrun访问这些SUID的二进制文件,但对我来说似乎有点不安全。 我的下一步是什么? 谢谢!
刚刚承担了一个新客户的网站的责任。 操作系统是Linux。 他们在文档根目录下有一个cgi-bin目录。 我正在查看我的error.log脚本的问题,并发现了一些尝试访问未使用的Perl脚本。 我已经删除了整个cgi-bin目录。 问题: 我在哪里可以findLinux VPS上的suexec日志? 它不在/ var / log / httpd / suexec_log中 攻击者如何获得cgi-bin的目录列表,假设权限被正确设置? 任何想进一步的行动,现在的cgi斌已被删除? [Mon Nov 21 01:15:08 2011] [error] [client 66.249.68.193] suexec policy violation: see suexec log for more details [Mon Nov 21 01:15:08 2011] [error] [client 66.249.68.193] Premature end of script headers: excel.pl [Mon Nov 21 01:32:30 2011] [error] […]
我有一个应用程序,声称要求其目录(及其子目录)的两个目录的chmod 777权限。 而不是这样做,suEXEC将是一个更安全的select?
我已经使用了suPHP和suExec的组合来试图保护用户,并限制PHP / Perl的运行空间(即:user / tmp文件夹)。 自从我上一次做了这样的configuration,我可以说几年,直到今天我不需要它,从那以后,一些新的模块进来了。 我想知道什么是目前可用于这个任务是值得使用的模块或我的设置仍然有效,值得使用? 我也注意到一些公司设置他们的ftp服务器,所以它不会显示以点开头的文件是否有任何特定的原因,他们会想要的? 我的意思是,在许多情况下,用户希望能够下载/编辑/重新上传他们的.htaccess文件,而上传所述文件的时候,你将无法在这个特定的情况下下载。 PS:我明白,CHMOD在所有这些方面都有一个很大的漏洞,但是正如明智地迫使Apache运行的那样,用户也是需要的。
当我按照这里的教程启用suEXEC时,我能够让PHP在cgi模式下运行Apache,但是当我开始尝试使用suEXEC时,我得到一个403,并且在错误日志“client denied by服务器configuration“。 suEXEC日志是空的。 我怎样才能得到这个工作? 我的最终目标是用suexec来运行fastcgi,而这个错误已经使我无时无刻不在了。 httpd.conf的相关部分: ScriptAlias /php5-cgi /usr/bin/php-cgi Action php5-cgi /php5-cgi AddHandler php5-cgi .php <Directory /usr/bin> Order allow,deny Allow from all </Directory> <VirtualHost *:80> ServerName skylords.com ServerAlias www.skylords.com en.skylords.com lt.skylords.com nl.skylords.com DocumentRoot /srv/http/htdocs SuexecUserGroup skylords skylords AddHandler php5-cgi .php ScriptAlias /php5-cgi /var/http/htdocs/cgi-bin/php-cgi ErrorDocument 404 /srv/http/htdocs ErrorLog /srv/http/logs/apache_error.log <Directory "/srv/http/htdocs"> AllowOverride All Order allow,deny […]
我目前正在为使用以下设置的客户端托pipe网站: Apache 2.2.16 mod_fastcgi 2.4.7 PHP 5.3.3 Apache使用worker MPM并通过dynamic的FastCGIconfiguration服务PHP: FastCgiSuexec / usr / sbin / suexec FastCgiConfig -singleThreshold 0 -pass-header授权-idle-timeout 3600 SuexecUserGroup用户组 Action application / x-httpd-fastphp /cgi-bin/php.fcgi AddType应用程序/ x-httpd-fastphp .php 这个效果很好,但是这为每个VirtualHost创build了一个php-cgi实例(即使cgi-bin目录对于一个给定的帐户在物理上是相同的),所以如果一个客户端有几个子域名,它开始累加起来,挨饿服务器和垃圾它。 所以这带我到实际的问题,是否有可能通过一个单一的PHP的CGI实例服务于一个帐户的所有PHP请求? 优选地,保持suexec位以防止客户端读取其目录之外的文件。
我使用centOS 5和WHM / cPanel运行我自己的专用服务器。 我想configuration我的服务器来满足我的需求,但我需要一点帮助。 这将只是我自己的网站在这台服务器上运行。 在服务器pipe理方面,我还是有一点点绿色,所以请原谅我的无知。 我想要什么: 我需要一些公共目录是可写的(对于用户图像上传和类似的东西),但我不希望这些目录有777的权限。 我需要个人帐户有能力为自己的帐户设置自定义PHP设置,而不会影响其他帐户,无论是通过php.ini文件或通过.htaccess或任何其他方法。 我希望事情尽可能快地运行,无论是使用php优化器还是cacher,比如eaccelerator或者xcache或者其他的东西。 我需要事情尽可能安全。 这是我的问题 我应该为我的PHP处理程序使用什么? DSO? CGI? FastCGI的? suPHP? 其他? 我应该使用suEXEC吗? 这有什么好处或缺点? 什么php优化器/ cacher最好用? 有什么其他的安全提示,我需要知道所有这一切? 我会很感激任何可以提供的build议或方向。 谢谢!