r00*_*3ss 8 users root permissions apache-httpd
新上岗,小地方,保安人员刚刚放在我的桌子上。我被聘为前端开发人员。乐于学习新事物,但以前从未做过系统管理员的工作。
我开始挖掘,看来 apache、站点和一切都在 root 上运行。没有其他组或用户。确认!
我应该采取什么步骤来改变这种情况?我知道这是一个很大的禁忌...
如果有人可以加分,请指点我一个很好的关于 apache/php 安全性的基本 101 教程。
lar*_*sks 13
发现 Apache 像root在任何库存配置中一样运行是不寻常的。您如何确定 Apache 以 root 身份运行?请注意,Apache 必须以 root 身份启动才能绑定到特权端口,但通常稍后会放弃其特权。
您可以查看 Apache 配置(通常在/etc/httpd或 中/etc/apache2,具体取决于您的发行版)的User和Group指令(记录在此处)。这两个指令控制 Apache 在什么用户 ID 下运行。
找到一个“没有其他组或用户”的系统也是不寻常的。做什么getent passwd和getent group展示什么?除了真的没有其他用户或组root吗?大多数发行版都附带一个apache或www-data用户或类似的用户以及匹配的配置,该配置将以该用户身份运行 Apache。
有各种 Apache 配置和安全性的介绍性指南。一个简单的谷歌搜索会产生许多看起来很可能的结果。RedHat/CentOS部署指南是一个很好的起点(如果您使用的是 RedHat/CentOS 系统)。
| 归档时间: |
|
| 查看次数: |
9275 次 |
| 最近记录: |