在linux伺服器的web應用中,經常需要上傳檔案到伺服器上。不管是php的也好,jsp的也好,如果web程式對於上傳檢查不嚴格,可導致黑客上傳webshell,對伺服器安全威脅自不用說了。對於web開發對檔案上傳的限制,這裡就不說了,這裡僅僅來討論伺服器如何設定才防止上傳的webshell執行。
記得以前寫過一篇文章,針對windows下web目錄的設定,指令碼可以執行的僅僅給web匿名賬戶讀取檔案的許可權,使用者可以上傳的目錄不給其執行許可權。這樣即使web程式有問題,就算上傳了webshell也無法執行的。
在linux情況下,本來以為去除上傳目錄的執行許可權後,就ok了的。通過chmod去除後,導致無法上傳,比較鬱悶。後來一想,在windows下是通過iis來限制對web目錄的解析的,那apache應該也可以的吧。
查詢了www.2cto.com裡的apache的幫助文件,終於讓我找到了一種解決方法:
限制某乙個目錄針對php的解析方法之一,昨天在freebsd上測試可用。
在httpd.conf配置檔案中,搜尋directory節點,新增新的節點;
addtype text/html .php
將php檔案解析為html,瀏覽者看到的是自己的原始碼了,hoho。
剛才又找到一種方法,關閉路徑/www/home/upload的php解析:
order allow,deny
deny from all
限制針對php檔案的解析,對於*.php.*這種檔案,可以新增上即可。
其實還有一種方法就是將檔案上傳到乙個單獨的資料夾,給乙個二級的網域名稱,這樣不給這個虛擬站點解析許可權。目前很多**是採用的這種方式。
關閉虛擬主機的php解析:
...
order allow,deny
deny from all
配置Apache防止webshell上傳
在linux伺服器的web應用中,經常需要上傳檔案到伺服器上。不管是php的也好,jsp的也好,如果web程式對於上傳檢查不嚴格,可導致黑客上傳webshell,對伺服器安全威脅自不用說了。對於web開發對檔案上傳的限制,這裡就不說了,這裡僅僅來討論伺服器如何設定才防止上傳的webshell執行。記...
Apache 防止惡意解析
apache 防止惡意解析 在用apache搭建的web伺服器的時候,如何想只能通過設定的網域名稱訪問,而不能直接通過伺服器的ip位址訪問呢,有以下兩種方法可以實現 當然肯定還會有其他方法可以實現 都是修改httpd.conf檔案來實現的,當然,如果在有虛擬機器的情況下我們會將 httpd vhos...
Apache配置技巧
apache配置技巧 1 如何設 置請求等待時間 在httpd.conf裡面設定 timeout n 其中n為整數,單位是秒。設定這個timeout適用於三種情況 2 如何接收乙個get請求的總時間 接收乙個post和put請求的tcp包之間的時間 tcp包傳輸中的響應 ack 時間間隔 3 如何使...