PHP安全配置(4)

四、其它安全配置

1、取消其它用戶對常用、重要系統命令的讀寫執行權限

一般管理員維護只需一個普通用戶和管理用戶，除了這兩個用戶，給其它用戶能夠執行和訪問的東西應該越少越好，所以取消其它用戶對常用、重要系統命令的讀寫執行權限能在程序或者服務出現漏洞的時候給攻擊者帶來很大的迷惑。記住一定要連讀的權限也去掉，否則在linux下可以用/lib/ld-linux.so.2 /bin/ls這種方式來執行。

如果要取消某程如果是在chroot環境里，這個工作比較容易實現，否則，這項工作還是有些挑戰的。因為取消一些程序的執行權限會導致一些服務運行不正常。PHP的mail函數需要/bin/sh去調用sendmail發信，所以/bin/bash的執行權限不能去掉。這是一項比較累人的工作，

2、去掉apache日志其它用戶的讀權限

apache的aclearcase/" target="_blank" >ccess-log給一些出現本地包含漏洞的程序提供了方便之門。通過提交包含PHP代碼的URL，可以使access-log包含PHP代碼，那么把包含文件指向access-log就可以執行那些PHP代碼，從而獲得本地訪問權限。

如果有其它虛擬主機，也應該相應去掉該日志文件其它用戶的讀權限。

當然，如果你按照前面介紹的配置PHP那么一般已經是無法讀取日志文件了。

原文轉自：http://www.anti-gravitydesign.com