到处浏览所有apache用户可以访问的文件和目录
锁定php模块可以访问的范围(笼环境)
& lt; VirtualHost *: 8082年在
DocumentRoot/分享/1310
ServerName 10.1.1.21
ErrorLog logs/10.1.1.21-error_log
CustomLog logs/10.1.1.21-access_log常见
& lt;目录/分享/1310在
FollowSymLinks选项索引
AllowOverride
& lt;/Directory>
& lt; IfModule mod_php5.c>
php_admin_value open_basedir”/分享/1310:/var/lib/php/会话:/tmp”
& lt;/IfModule>
& lt;/VirtualHost>
可以执行系统指令
# vim/etc/php.ini
disable_functions=exec shell_exec,系统,passthru, popen
可以删除apache用户可以删除的文件,典型的就是可以删除网站目录下的文件
可以修改网站页面
httpd进程有效身份是apache
假设网站目录/var/www/html/根:根755 & lt;——保证apache不能随意删除目录下的文件
/var/www/html/索引。php根:根644
/var/www/html/上传/apache: apache 755 & lt;——专门用于保存用户上传的文件
解压所有代码到/var/www/html/
#乔恩根:根- r/var/www/html
# chmod 755/var/www/html
#乔恩apache: apache - r/var/www/html/upload/
# chmod 755/var/www/html/upload/
通过网站php代码获知数据库的用户名和密码
为了降低网站被* * *之后数据库帐号泄漏的风险,应该:一个网站(应用)独立使用一个库和一个帐号
反向连接,主动把壳连接到* * *者的终端
代码背后编译个perl或者c写的程序,然后执行这个程序,让程序主动连接* * *者的机器
解决:
禁止普通用户可以编译程序并且执行程序
线上的服务器,一般都不会安装开发工具,编译工具。如果非得要安装,那么chmod 700/usr/bin/gcc
在防火墙里记录下服务器主动向外连接的请求到日志中。
# iptables - t过滤器——输出新- j - m状态,状态日志——log-prefix“黑客”
==========================================================
SQL注入
ddos
arp
======================================================
1,编写策略,增加对一些自定义目录的保护
# vim/etc/tripwire/twpol.txt
(
rulename=皐ebroot”,
严重性=$ (SIG_HI)
)
{
/分享/1310→美元(SEC_CRIT);
!//1310/ula_04分享。txt;
}
2,第一次使用,必须建立密钥对
密钥对用来加密策略,配置文件,数据库文件,检查报告
# tripwire-setup-keyfiles
可以把原来的明文的配置文件和策略文件删除掉,免得泄密
# rm射频/etc/tripwire/twcfg.txt/etc/tripwire/twpol.txt
3,初始化
数次使用,需要初始,扫描策略中要求保护的文件的属性,并且记录到数据文件中
# tripwire——init
……
数据库文件写道:/var/lib/tripwire/www.upl.com.twd & lt;——数据文件
数据库已成功生成。
测试:
故意修改一些被保护的文件,确认工具是否能够发现?
# tripwire——检查检测策略中所有保护的文件
会输出扫描的概要,详细报告存在以下路径:
/var/lib/tripwire/报告/www.upl.com - 20131021 - 160519. - twr
查看详细报告文件
# twprint——打印报表twrfile/var/lib/tripwire/report/www.upl.com - 20131021 - 160519. - twr
只去检查指定策略保护的文件
# tripwire——检查——规则名称“webroot”
假设报告中出现变化的文件,是我们管理员和维护人员由于正常的操作带来的修改,那么应该把这些更改后结果更新到数据文件中
# LANG=C tripwire——更新twrfile/var/lib/tripwire/report/www.upl.com - 20131021 - 160519. - twr .....
删除“x”从相邻盒子防止更新数据库
这个对象的新值。
删除:
[x]“/分享/1310/secret.txt.dersa”《——保留前面的x,这些文件的新属性就会更新到数据文件中,下次扫描就会按照新属性来对比(忽略这次发现的更改)
[x]”//1310/secret.txt分享。签署“
[x]”//1310/secret.txt分享。rsa "
[x]”/分享/1310/秘密。txt”