四、其它安全配置
1、取消其它用户对常用、重要系统命令的读写履行权限
一般治理员保护只需一个普通用户和治理用户,除了这两个用户,给其它用户能够履行和拜访的东西应当越少越好,所以取消其它用户对常用、重要系统命令的读写履行权限能在程序或者服务呈现漏洞的时候给攻击者带来很大的困惑。记住必定要连读的权限也往掉,否则在linux下可以用/lib/ld-linux.so.2 /bin/ls这种方法来履行。
假如要取消某程假如是在chroot环境里,这个工作比拟轻易实现,否则,这项工作还是有些挑衅的。由于取消一些程序的履行权限会导致一些服务运行不正常。PHP的mail函数需要/bin/sh往调用sendmail发信,所以/bin/bash的履行权限不能往掉。这是一项比拟累人的工作,
2、往掉apache日志其它用户的读权限
apache的access-log给一些呈现本地包含漏洞的程序供给了方便之门。通过提交包含PHP代码的URL,可以使access-log包含PHP代码,那么把包含文件指向access-log就可以履行那些PHP代码,从而获得本地拜访权限。
假如有其它虚拟主机,也应当相应往掉该日志文件其它用户的读权限。
当然,假如你按照前面先容的配置PHP那么一般已经是无法读取日志文件了。