我有共享主机,并且在我自己的用户空间中运行了三个不同的.com域。一个用作实际的托管计划主域,另一个通过URL重定向和域指向进行管理。在同一主站点上运行多个子站点时要采取的安全防范措施
其中一个潜艇是一个WordPress博客,我担心攻击者在Wordpress中使用安全漏洞访问我的虚拟伞下的其他站点的能力。如果博客本身遭到破坏,我不会失去对它的任何沉迷。但是,如果其他网站被钉死,我会成为一只相当悲伤的熊猫。
什么样的服务器权限等我可以用来隔离该博客?它完全包含在它自己的子目录中。
如果需要,可以提供更多详细信息,我是新手,可能已经遗漏了一些关键信息。
谢谢。
这是一个值得关注的问题。如果没有正确分离,一个站点中的漏洞将影响所有这些漏洞。
1)您需要做的第一件事是使用suPHP,这会强制应用程序以特定用户的权限运行。此用户帐户不应具有shell访问权限(/ bin/false)。
2)所有这三个应用程序目录都需要为chown user -R /home/user/www/和chmod 500 -R /home/user/www/ chmod中的最后两个零表示没有其他帐户可以访问这些文件。这只提供读取和执行权限,如果整个Web根目录不允许写入权限,这是理想的选择。
3)所有这三个应用程序都必须有一个单独的MySQL数据库和单独的MySQL用户帐户。这个用户帐户应该只有只有有权访问它自己的数据库。此帐户不应具有GRANT或FILE权限。如果FILE权限是您可以授予MySQL用户帐户的最危险权限,因为它用于上传后门并读取文件。这可以防止在一个站点上使用sql注入,从而允许攻击者读取所有站点的数据。
经过这三个步骤后,如果1个网站被黑客攻击,另2个网站将不会被触及。你应该运行一个漏洞扫描器,如Sitewatch(商业版,但有一个免费版本)或Skipfish(开源)。扫描应用程序后,运行phpsecinfo并修改您的php.ini文件以尽可能多地删除红色和黄色。修改你的php.init可以欺骗漏洞扫描器,但通常这个漏洞仍然存在,以确保你修补你的代码并保持所有内容都是最新的。
取决于漏洞攻击者发现。如果对所有数据库(包括WP数据库)使用相同的用户/密码,那么这可能是个问题。当然,文件权限是一个问题...任何可以被Web服务器访问的东西都可以被读取,并且经常被写入。
这里有很多安全问题,但是如果您在发布安全修复时使用ftps,ssh和更新WP,那么您可以降低出现问题的几率。最安全的电脑被装入水泥中并沉入马里亚纳海沟。但它不是很有用。你正在寻找一个平衡点。
不能说我以前在安全性方面曾经听说过这样一句完整的短语:) – TheDeadMedic 2010-07-03 10:43:11
Chmod文件755并知道chmod设置以保持关于经典问题的更新:由于perl,php或使用的脚本语言中的错误,黑客通过uri查询字符串获取shell。拥有一个像secureserver.net这样的安全ISP应该不辜负它的名字,保持语言实现中的特定错误并选择最安全的可用性而不是大多数的性能,并且阅读insecure.org是我用secureserver运行所有实验和开发的东西。没有报告安全问题的网络可行。
755给阅读访问所有人,我应该给你一个-1。 – rook 2010-07-01 07:51:19
写得很好的步骤可以防止对服务器的攻击。不要忘记还要保护您的域名免受其他用户的攻击。对于XSS,将会话cookie'路径'属性(和'域')(如果适用)配置为最严格的将有所帮助。例如:Set-Cookie sessionid = 1234;路径=/subdomain1 – 2011-11-22 20:37:55