Предотвратить www-данные от запуска скриптов и программ
Я обнаружил этот маленький PHP-скрипт, который позволяет вам вводить GET-запросы вручную из адресной строки браузера и выполнять команды. Я поэкспериментировал с этим и обнаружил, что могу делать все что угодно, например, www-данные, включая просмотр всей структуры каталогов, копирование файлов учетных записей пользователей, кропотливое написание сценариев и файлов PHP, загрузку сценариев, файлов PHP и исполняемых программ, а также загрузку. и скомпилируйте исходный код C.
Я играл с ним на запасной машине, недоступной из Интернета, но это заставило меня задуматься о том, что может произойти, если этот код будет введен на веб-страницу (подобное было сделано с программным обеспечением с открытым исходным кодом, которое я использовал в в прошлом) и интересуется, какие шаги можно предпринять, чтобы заблокировать сервер, чтобы предотвратить его.
Итак, есть ли какой-нибудь способ запретить www-данным выполнять команды, которые позволили бы эти действия на сервере, в случае, если к нему когда-либо будет получен доступ таким образом?
1 ответ
Если Вам не нужно что-то, лучше выключите его, действительно.
существует две вещи, которые можно обычно делать:
1) , Если Вам не нужен PHP, затем выключите его. Под Ubuntu Вы видите список модулей, которые включены под /etc/apache2/mods-enabled/
Попытка:
ls /etc/apache2/mods-enabled/
, Если Вы рассматриваете записи такой как php5.conf и php5.load, удалите их. Точно так же можно найти cgi*.* модули, и если установленные другие как рубин и жемчуг (не установленный по умолчанию). Как упомянуто кем-то еще, suexec является также потенциальной проблемой, потому что с "su" возможностью Вы видите целый мир.
2) при использовании PHP, тогда можно попытаться работать ультрасовременная безопасность . Это предотвратит много вещей, предполагая включение большинства проверок, которые они имеют там. Однако это также предотвратит много легальных вещей (т.е. если у Вас есть код удара на странице, та страница не может быть подана вообще!)
<час>, Конечно, основная идея состоит в том, чтобы быть в состоянии установить системы, такие как Drupal или Wordpress. Такое использование PHP и таким образом Вы вынуждены использовать его. Теперь обратите внимание, что система, такая как Drupal имеет полное служба безопасности работа над проблемами, которые представляют потенциальную опасность для сервера или клиентского использования Drupal. Таким образом, это вообще безопасно.