아파치 보완 관련 ..

etc RSS Icon ATOM Icon 2011/03/05 16:07 visualp
1) gcc, g++ 등의 컴파일 명령어 (기본값으로는 설치되어있지 않음) 의 퍼미션을 500 으로
uid가 걸리기 때문에 gcc등의 명령어를 허용하면 위험할 수 있다.

2) chmod 711 /home
홈디렉토리의 상위 브라우징 방지

3) chmod -R 700 /home/*
#crontab -e
*/5 * * * * chmod -R 700 /home/*    추가
5분마다 퍼미션 조정을 합니다.

4) apt-get install apache2-mpm-itk
>> 설치후 module 이 enable된다.
모듈설치

5) sites-available 의 각 파일안에
<virtualHost> 안에
AssignUserID dev dev

줄 추가
하면 dev사용자 권한으로 아파치가 작동하게 된다.

따라서 웹쉘로 해당사용자(dev) 권한이 걸리게 되며
다른 사용자의 정보를 조회할 수 없게 된다.
(others 가 막혀있으므로)

shadow 파일은 못읽게 되어있고
root 폴더도 못들어 가고

나머지 파일이야 읽어봤자 필요 없고.  apache2, php, mysql 설정폴더는 퍼미션조정하면 되겠군요.(옵션)

6) /etc/profile 에 마지막줄에
umask 022 를
umask 077 로 변경


제대로 세팅되어 있는지 테스트 하는 법

itk.php
<?php
echo exec('whoami');
?>

써서  Nobody 나 www-data 가 나온다면 실패
dev(위에서 지정된 사용자)가 나온다면 성공

[원문 ] ;http://sir.co.kr/bbs/board.php?bo_table=pg_apache&wr_id=396
2011/03/05 16:07 2011/03/05 16:07
받은 트랙백이 없고, 댓글이 없습니다.

댓글+트랙백 RSS :: http://blog.visualp.com/rss/response/363

댓글+트랙백 ATOM :: http://blog.visualp.com/atom/response/363

트랙백 주소 :: 이 글에는 트랙백을 보낼 수 없습니다

트랙백 RSS :: http://blog.visualp.com/rss/trackback/363

트랙백 ATOM :: http://blog.visualp.com/atom/trackback/363