原文地址:http://www.myhack58.com/Article/60/61/2013/37209.htm
根据生产环境不断反馈,发现不断有 PHP 站被挂木马,绝大部分原因是因为权限设置不合理造成。因为服务器软件,或是 php 程序中存在漏洞都是难免的,在这种情况下,如果能正确设置 Linux 站目录权限, php 进程权限,那么 站的安全性实际上是可以得到保障的。
location ~ “.php$” {
fastcgi_pass 127.0.0.0:9000;
………………..
}
这时,任何用户将无法访问/cache/ 目录内容。
附件上传目录 attachments
此目录的特点是需要开放访问权限,但所有文件不能由php 引擎解析(包括后缀名改为 gif 的木马文件)
location ~ “^/attachments” {
}
显然,重要的php 配置文件,请勿放在此类目录下。
静态文件生成目录 public
这些目录一般都是php 生成的静态页的保存目录,显然与附件目录有类似之处,按附件目录的权限设置即可。可以预见的是,如果我们设置了较严格的权限,即使 站php 程序存在漏洞,木马脚本也只能被写入到权限为 777 的目录中去,如果配合上述严格的目录权限控制,木马也无法被触发运行,整个系统的安全性显然会有显著的提高。
但是 站可写目录的作用及权限,只有开发人员最为清楚。这方面需要php 开发人员和系统管理员积极沟通。我们使用的方式是:项目上线前,开发人员根据以文档形式提供 站可写目录的作用及权限,由系统管理员针对不同目录进行权限设置。任何一方修改了 站目录权限,但未体现到文档中,我们认为是违反工作流程的。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!