我的/var/www文件夹属于root,但www-data对其子目录(用户上传文件夹, 仅包含图片 )具有写入权限。
反正有恶意用户导航出这个特定的子目录,甚至出/var/www ?
有什么我可以做的,以加强安全呢?
在这种情况下,chroot是无用的吗?
感谢您的build议。
这种types的漏洞被称为“目录遍历”。
自从Apache本身有一个遍历漏洞已经很久了,但是这听起来像是在Apache中运行你自己的代码; 那么您需要关注如何降低风险,特别是如果您有代码从文件系统加载其他文件或内容(例如上传代码)。
您偶尔会看到来自机器人的日志条目,例如/../../../etc/passwd ,但是Apache不会给他们这些内容(至less在没有发现新的漏洞的情况下) ,所以你只是想确保你自己的代码也是如此。
你的文件权限应该是644 ,目录应该是755 。 唯一有权限的用户应该是www-data。 其他用户只具有只读权限。 在你的情况下,看起来不错。
把日常的clam-av和LMD扫描到你的web根目录下。 如果您正在使用任何内置框架,请validation该站点的安全性,并始终拥有最新版本的应用程序。
要监视Web根目录,您应该在/ var / www上添加inotify ,以便知道在文件系统上编辑,创build和删除了哪些文件。 黑客的第一步是把一些文件放在Web根目录下,然后导航到文件系统,所以你应该通过inotify监视。
始终有旧文件的每日备份,以便您可以比较文件,如果在网上新编辑的恶意代码。
所有在images文件夹中创build的文件都不应该有执行权限,也要检查上传的文件是否只是图片,还要检查文件的扩展名。
希望有所帮助。