当我在Webmin的文件pipe理器中时,我可以双击并在Firefox中的新选项卡中查看文件的代码及其特定的URL。
但是,当我删除?rand=xxxx... file.php后,并在Chrome浏览器中粘贴的URL,我仍然可以看到代码。
这是我刚刚在Chrome浏览器中粘贴的url
http://xxx.xxx.xxx.xxx:10000/file/show.cgi/var/www/html/mysite.com/files/file.php
然后我注销webmin和我改变file.php与其他文件,我可以看到代码。
Webmin是否安全? 我如何保护它?
?rand =是caching断开器。 这是一个随机的string附加到url,以确保您收到的网页没有caching。 您的会话/login信息通过cookie保存在浏览器中,不受“rand =”值的影响。
当您删除?rand =部分时,您只能从请求中删除caching中断function,但大多数浏览器不会caching这个function。 我相信IE 6开箱即用,caching响应过于积极,这就是为什么他们引入了修复。
你的webmin很好。 我确定这与webmin使用的数据库中存储的会话信息有关。
您的服务器与您的服务器一样安全。 尽pipewebmin为了保护您的系统而花费了大量的工作量,但仍然需要谨慎行事,不断检查您的日志。
关于webmin的关键字是“networking”,这意味着信息既作为cookie存储在你的浏览器上,也作为会话数据存储在你的服务器上。 此外,如果您使用SSL作为webmin(您应该使用imho),那么您的所有数据都会在您的SSL证书进行encryption时进行encryption。
Webmin是一个用来pipe理你的服务器的工具。 您应该只允许服务器pipe理员访问它。 像FTP / SSH访问一样 – 它允许人们访问你的服务器,并对其中包含的文件进行更改。
Webmin中的文件pipe理器提供了与FTP访问相同的function。 就像你用FTP看到你的文件的PHP代码一样,你将会用Webmin看到它们。 那有意义吗?
如果您使用的是webmin gpl,您可以查看源代码,看看它是否为您自己安全(以及在此询问其他人的意见)。 如果是webmin pro,你可以调用支持,并确认你没有发现错误。
一种方法,你可以从等式中删除你存储的会话是尝试直接导航到未login到Webmin的计算机的URL。 如果你仍然可以访问该文件,那么你可能有一个问题。