說明
在一個(gè)入侵鏈路中昔脯,往往是利用某個(gè)安全漏洞苔严,向服務(wù)器寫入或上傳一個(gè)webshell(后門)役纹,再通過webshell提權(quán)或進(jìn)行后續(xù)滲透入侵行為每瞒。
這個(gè)過程中金闽,獲取webshell是最關(guān)鍵最重要的一個(gè)步驟,如能在這個(gè)環(huán)節(jié)中阻止攻擊者獲得webshell剿骨,能有效保障到服務(wù)器(網(wǎng)站)安全代芜。
網(wǎng)站目錄文件權(quán)限
網(wǎng)站目錄文件權(quán)限的設(shè)置對(duì)網(wǎng)站的安全至關(guān)重要,在安全原則中應(yīng)遵循網(wǎng)站目錄文件最小權(quán)限設(shè)置浓利。
第一個(gè)原則:有寫入權(quán)限的目錄挤庇,不給動(dòng)態(tài)腳本的執(zhí)行權(quán)限。
第二個(gè)原則:有執(zhí)行權(quán)限的目錄贷掖,不給寫入權(quán)限嫡秕。
還有一個(gè)原則,php-fpm/nginx 進(jìn)程所使用的用戶苹威,不能是網(wǎng)站文件所有者昆咽。 凡是違背這個(gè)原則,則不符合最小權(quán)限原則。
常規(guī)權(quán)限:
-rw------- (600) 只有所有者才有讀和寫的權(quán)限
-rw-r--r-- (644) 只有所有者才有讀和寫的權(quán)限掷酗,組群和其他人只有讀的權(quán)限
-rwx------ (700) 只有所有者才有讀调违,寫,執(zhí)行的權(quán)限
-rwxr-xr-x (755) 只有所有者才有讀汇在,寫翰萨,執(zhí)行的權(quán)限脏答,組群和其他人只有讀和執(zhí)行的權(quán)限
-rwx--x--x (711) 只有所有者才有讀糕殉,寫,執(zhí)行的權(quán)限殖告,組群和其他人只有執(zhí)行的權(quán)限
-rw-rw-rw- (666) 每個(gè)人都有讀寫的權(quán)限
-rwxrwxrwx (777) 每個(gè)人都有讀寫和執(zhí)行的權(quán)限
安全配置實(shí)例
1阿蝶、nginx和php-fpm運(yùn)行用戶為www
2、假設(shè)web目錄所屬著為web_owner
3黄绩、將web目錄的用戶和用戶組設(shè)置為web_owner和www羡洁,如下命令:
chown -R web_owner:www /usr/local/nginx/html
4、設(shè)置網(wǎng)站目錄權(quán)限為750爽丹,750是web_owner用戶對(duì)目錄擁有讀寫執(zhí)行的權(quán)限筑煮,這樣web_owner用戶可以在任何目錄下創(chuàng)建文件,用戶組有有讀執(zhí)行權(quán)限粤蝎,這樣才能進(jìn)入目錄真仲,其它用戶沒有任何權(quán)限。
find -type d -exec chmod 750 {}
5初澎、設(shè)置網(wǎng)站文件權(quán)限為640秸应,640指只有web_owner用戶對(duì)網(wǎng)站文件有更改的權(quán)限,web服務(wù)器只有讀取文件的權(quán)限碑宴,無(wú)法更改文件软啼,其它用戶無(wú)任何權(quán)限。
find -not -type d -exec chmod 640 {}
6延柠、針對(duì)個(gè)別目錄設(shè)置可寫權(quán)限祸挪。比如網(wǎng)站的一些緩存目錄就需要給web服務(wù)有寫入權(quán)限。例如cache目錄就必須要寫入權(quán)限贞间。
find -name 'cache' -type d -exec chmod 770 {}
參考:
http://www.2cto.com/article/201402/277715.html
http://jingyan.baidu.com/article/9158e0008855e2a2541228e1.html
