摘要：open_basedir可将用户访问文件的活动范围限制在指定的区域，通常是其家目录的路径，也 可用符号"."来代表当前目录。open_basedir也可以同时设置多个目录, 在Windows中用分号分隔目录,在任何其它系统中用 冒号分隔目录。当其作用于Apache模块时，父目录中的open_basedir路径自动被继承。以下以Linux系统下的配置为例 阅读全文

摘要：之前在博文“从PHP安全讲DedeCms的安全加固”中说过在PHP安全中保护“可写目录下的文件不允许被访问到的重要性，还提出了改名文件夹的方式来保护该目录。 如果用的是Apache服务器，还可以通过配置来禁止该目录下的PHP文件的访问，有两种方式： 方式一：.htaccess控制，适用于没有服务器管理权限。 在可写文件夹的目录下，建一个.htaccess文件，内容为： 方式二：修改Apache配置文件，适用于有服务器管理权限。 配置中增加如下内容： 阅读全文

摘要：先来看看原因吧，为什么PHP程序经常出漏洞，其实是由PHP程序本身决定的。PHP可复用性低，导致程序结构错综复杂，到处是冗余代码，这样不仅利于漏洞的产生，还影响漏洞的修得；PHP程序入门简单且普遍开源，导致很多人都可直接阅读代码，搜寻漏洞；这样便有源源不断的漏洞被发现、被修复、被发现……。而当前流行的PHP系统习惯用以文件形式做为缓存，这样就需要开放文件的写权限，这无疑成为PHP系统的软肋。目前针对PHP系统的攻击方式，除了已经很少出现的“注入”攻击外，大部分攻击都是通过系统的某个漏洞，向可写文件里插入一句话木马，以此方式获得shell。 网站安全从来都是服务器配置、文件权限控制和网站程序三者的相互配合，今天主要看看如果对DedeCms网站程序的改进来提高安全性。“可执行的文件不允许被修改，可写文件不允许被访问”这是网站权限控制的根本原则，网站程序在“可写文件不允许被访问”方面可做许多工作。就拿DedeCMS来说，我们可以在如下几个方式做好保护。 阅读全文

摘要：Linux文件系统给所有者（owner）、所有组（owning group）、其它（other）每一类用户分别定义了的rwx权限，且是彼此独立的。虽然Linux有也Linux特殊文件权限的功能支持，但要像在Windows下把权限控制可以精确到用户和组（如允许某个文件允许某一特殊用户修改，允许某一组的用户可以查看等）一样灵活，这些显然还不够。令人欣慰的是，Linux也有ACLs权限控制的支持，在Linux中ACLs在ReiserFS,Ext2,Ext3,JFS,XFS等文件系统中受到支持。 阅读全文

摘要：/tmp目录默认权限是777，而且有些文件也是允许所有用户访问修改的，那么是不是任何一个用户都可以将这些删除呢？再如/etc/shadow保存的是用户密码文件，默认情况下它的权限是640，那么只有shadow的 owner(root)才能修改它，按照常规理解，这是不可理解的，因为每个用户都可能修改密码，也就是会修改这个文件。 为了把这些情况解释清楚，需要引入Linux特殊文件权限的概念。Linux特殊文件权限有三个玩意：sticky bit、SGID、SUID，以下一一道来。 阅读全文