1) gcc, g++ 등의 컴파일 명령어 (기본값으로는 설치되어있지 않음) 의 퍼미션을 500 으로
uid가 걸리기 때문에 gcc등의 명령어를 허용하면 위험할 수 있다.
2) chmod 711 /home
홈디렉토리의 상위 브라우징 방지
3) chmod -R 700 /home/*
#crontab -e
*/5 * * * * chmod -R 700 /home/* 추가
5분마다 퍼미션 조정을 합니다.
4) apt-get install apache2-mpm-itk
>> 설치후 module 이 enable된다.
모듈설치
5) sites-available 의 각 파일안에
<virtualHost> 안에
AssignUserID dev dev
줄 추가
하면 dev사용자 권한으로 아파치가 작동하게 된다.
따라서 웹쉘로 해당사용자(dev) 권한이 걸리게 되며
다른 사용자의 정보를 조회할 수 없게 된다.
(others 가 막혀있으므로)
shadow 파일은 못읽게 되어있고
root 폴더도 못들어 가고
나머지 파일이야 읽어봤자 필요 없고. apache2, php, mysql 설정폴더는 퍼미션조정하면 되겠군요.(옵션)
6) /etc/profile 에 마지막줄에
umask 022 를
umask 077 로 변경
제대로 세팅되어 있는지 테스트 하는 법
itk.php
<?php
echo exec('whoami');
?>
써서 Nobody 나 www-data 가 나온다면 실패
dev(위에서 지정된 사용자)가 나온다면 성공
[원문 ] ;http://sir.co.kr/bbs/board.php?bo_table=pg_apache&wr_id=396
- Posted
- Filed under etc