。
Apache Toolbox 可以在GUN命令行下安装,也可以在X窗口下安装,为了方便读者阅读本文以在X窗口下安装为例。在www.apachetoolbox.com下载最新的apachetoolbox安装包。包括apache2.0,mysql3.23.51,php4.3,Python 2.0、 PostgresSQLv7.1等常用建站软件和APC (一种为PHP提供Cache的模块),Apache Toolbox Apache Toolbox提供了一个简单的编译Apache方法,能让你很容易地安装Apache、 SSL,PHP, ZendOptimizer, mod_auth-nds,mod-dynvhost,WebDAV,mod_fastcgi,mod_gzip,mod_layout,mod_throttle,mod_accessref, mod_auth_sys, mod_bandwidth, mod_auth_ldap, mod_perl, openldap.等等以及最新的支持PNG格式的 gd 库。它支持完全的菜单界面。
图-2 Apachetoolbox安装界面
2、按照Apache 模块安装当 PHP 被用作 Apache 的模块时,它将继承 Apache 的用户权限(典型情况为用户"nobody")。 这将对安全及授权机制产生一些冲击。
例如,如果您使用 PHP 来访问数据库,除非数据库本身有内建的访问控制,否则您将使得数据库能够被用户"nobody"访问。这意味着恶意的脚本能够访问并修改数据库,甚至不需要用户名和密码。网络黑客无意中访问到了数据库管理员的 WEB 页面并通过这里删除所有的数据库是完全有可能发生的。
您可以利用 Apache 的认证机制来防止这些的发生,或者也可以利用 LDAP 或 .htaccess 文件等来设计您自己的访问模式,并将这些代码包含为您 PHP 脚本的一部分。
通常,一旦安全机制建立并使得 PHP 的用于(在这种情况下,为 Apache 用户)仅为此承担很小的风险时,我们发现 PHP 此时被禁止往用户目录写入任何文件,或者还有可能被禁止访问和更改数据库。无论往防止的对象中写入文件的好坏以及进入的数据库事务的好坏,其安全性都是同等的。
在这个时候,一个频繁出现的安全错误是给 Apache root 权限,或者用其它方法提升 Apache 的能力。
给 Apache 用户赋予 root 权限是及其危险的,而且有可能会连累整个系统。因此,进行 sudo、chroot,或者以 root 账号运行等操作不应该考虑让那些非安全专家来执行。 还有一些更简单的情况。您可以使用 open_basedir 来控制和限制 PHP 能够使用的目录。您还可以建立 Apache 的专用区域,以将所有基于 WEB 的活动都限制到非用户、系统和文件。
3、把PHP解析器放在Web目录外
一种安全性非常高的方法是把 PHP 解析程序放置到 WEB 文件目录树以外的某个地方,例如,放置到 /usr/local/bin。这种做法唯一的弊病就是您现在需要在所有含有 PHP 标记符文件的第一行添加类似于以下的内容:
Apache Toolbox 可以在GUN命令行下安装,也可以在X窗口下安装,为了方便读者阅读本文以在X窗口下安装为例。在www.apachetoolbox.com下载最新的apachetoolbox安装包。包括apache2.0,mysql3.23.51,php4.3,Python 2.0、 PostgresSQLv7.1等常用建站软件和APC (一种为PHP提供Cache的模块),Apache Toolbox Apache Toolbox提供了一个简单的编译Apache方法,能让你很容易地安装Apache、 SSL,PHP, ZendOptimizer, mod_auth-nds,mod-dynvhost,WebDAV,mod_fastcgi,mod_gzip,mod_layout,mod_throttle,mod_accessref, mod_auth_sys, mod_bandwidth, mod_auth_ldap, mod_perl, openldap.等等以及最新的支持PNG格式的 gd 库。它支持完全的菜单界面。
例如,如果您使用 PHP 来访问数据库,除非数据库本身有内建的访问控制,否则您将使得数据库能够被用户"nobody"访问。这意味着恶意的脚本能够访问并修改数据库,甚至不需要用户名和密码。网络黑客无意中访问到了数据库管理员的 WEB 页面并通过这里删除所有的数据库是完全有可能发生的。
您可以利用 Apache 的认证机制来防止这些的发生,或者也可以利用 LDAP 或 .htaccess 文件等来设计您自己的访问模式,并将这些代码包含为您 PHP 脚本的一部分。
通常,一旦安全机制建立并使得 PHP 的用于(在这种情况下,为 Apache 用户)仅为此承担很小的风险时,我们发现 PHP 此时被禁止往用户目录写入任何文件,或者还有可能被禁止访问和更改数据库。无论往防止的对象中写入文件的好坏以及进入的数据库事务的好坏,其安全性都是同等的。
在这个时候,一个频繁出现的安全错误是给 Apache root 权限,或者用其它方法提升 Apache 的能力。
给 Apache 用户赋予 root 权限是及其危险的,而且有可能会连累整个系统。因此,进行 sudo、chroot,或者以 root 账号运行等操作不应该考虑让那些非安全专家来执行。 还有一些更简单的情况。您可以使用 open_basedir 来控制和限制 PHP 能够使用的目录。您还可以建立 Apache 的专用区域,以将所有基于 WEB 的活动都限制到非用户、系统和文件。
3、把PHP解析器放在Web目录外
一种安全性非常高的方法是把 PHP 解析程序放置到 WEB 文件目录树以外的某个地方,例如,放置到 /usr/local/bin。这种做法唯一的弊病就是您现在需要在所有含有 PHP 标记符文件的第一行添加类似于以下的内容:
#!/usr/local/bin/php
相关文章
 我来说两句 |
对此文章发表了评论 |
评论列表 (最新 评论仅限网友观点!)
推荐文章
热门文章
