我有共享主機,並且在我自己的用戶空間中運行了三個不同的.com域。一個用作實際的託管計劃主域,另一個通過URL重定向和域指向進行管理。在同一主站點上運行多個子站點時要採取的安全防範措施
其中一個潛艇是一個WordPress博客,我擔心攻擊者在Wordpress中使用安全漏洞訪問我的虛擬傘下的其他站點的能力。如果博客本身遭到破壞,我不會失去對它的任何沉迷。但是,如果其他網站被釘死,我會成爲一隻相當悲傷的熊貓。
什麼樣的服務器權限等我可以用來隔離該博客?它完全包含在它自己的子目錄中。
如果需要,可以提供更多詳細信息,我是新手,可能已經遺漏了一些關鍵信息。
謝謝。
這是一個值得關注的問題。如果沒有正確分離,一個站點中的漏洞將影響所有這些漏洞。
1)您需要做的第一件事是使用suPHP,這會強制應用程序以特定用戶的權限運行。此用戶帳戶不應具有shell訪問權限(/ bin/false)。
2)所有這三個應用程序目錄都需要爲chown user -R /home/user/www/和chmod 500 -R /home/user/www/ chmod中的最後兩個零表示沒有其他帳戶可以訪問這些文件。這隻提供讀取和執行權限,如果整個Web根目錄不允許寫入權限,這是理想的選擇。
3)所有這三個應用程序都必須有一個單獨的MySQL數據庫和單獨的MySQL用戶帳戶。這個用戶帳戶應該只有只有有權訪問它自己的數據庫。此帳戶不應具有GRANT或FILE權限。如果FILE權限是您可以授予MySQL用戶帳戶的最危險權限,因爲它用於上傳後門並讀取文件。這可以防止在一個站點上使用sql注入,從而允許攻擊者讀取所有站點的數據。
經過這三個步驟後,如果1個網站被黑客攻擊,另2個網站將不會被觸及。你應該運行一個漏洞掃描器,如Sitewatch(商業版,但有一個免費版本)或Skipfish(開源)。掃描應用程序後,運行phpsecinfo並修改您的php.ini文件以儘可能多地刪除紅色和黃色。修改你的php.init可以欺騙漏洞掃描器,但通常這個漏洞仍然存在,以確保你修補你的代碼並保持所有內容都是最新的。
取決於漏洞攻擊者發現。如果對所有數據庫(包括WP數據庫)使用相同的用戶/密碼,那麼這可能是個問題。當然,文件權限是一個問題...任何可以被Web服務器訪問的東西都可以被讀取,並且經常被寫入。
這裏有很多安全問題,但是如果您在發佈安全修復時使用ftps,ssh和更新WP,那麼您可以降低出現問題的機率。最安全的電腦被裝入水泥中並沉入馬裏亞納海溝。但它不是很有用。你正在尋找一個平衡點。
不能說我以前在安全性方面曾經聽說過這樣一句完整的短語:) – TheDeadMedic 2010-07-03 10:43:11
Chmod文件755並知道chmod設置以保持關於經典問題的更新:由於perl,php或使用的腳本語言中的錯誤,黑客通過uri查詢字符串獲取shell。擁有一個像secureserver.net這樣的安全ISP應該不辜負它的名字,保持語言實現中的特定錯誤並選擇最安全的可用性而不是大多數的性能,並且閱讀insecure.org是我用secureserver運行所有實驗和開發的東西。沒有報告安全問題的網絡可行。
755給閱讀訪問所有人,我應該給你一個-1。 – rook 2010-07-01 07:51:19
寫得很好的步驟可以防止對服務器的攻擊。不要忘記還要保護您的域名免受其他用戶的攻擊。對於XSS,將會話cookie'路徑'屬性(和'域')(如果適用)配置爲最嚴格的將有所幫助。例如:Set-Cookie sessionid = 1234;路徑=/subdomain1 – 2011-11-22 20:37:55