配置Apache避免webshell上传[服务器安全]

在Linux服务器的web利用中,常常需求上传文件到服务器上.不管是php的也好,jsp的也好,假如web程序关于上传查抄不严峻,可招致黑客上传webshell,对服务器安全威胁自不用说了.关于web开辟对文件上传的限制,这里就不说了,这里仅仅来谈论服务器若何设置才避免上传的webshell履行.

 

记得从前写过一篇文章,针对Windows下web目录的设置,脚本可以履行的仅仅给web匿名账户读取文件的权限,用户可以上传的目录不给其履行权限.这样即便web程序有问题,就算上传了webshell也无法履行的.

 

在Linux情形下,本来认为去除上传目录的履行权限后,就ok了的.通过chmod去除后,招致无法上传,对比忧郁.后来一想,在Windows下是通过IIS来限制对web目录的解析的,那apache应当也可以的吧.

 

查找了www.2cto.com里的apache的帮忙文档,终于让我找到了一种办理办法:

限制某一个目录针对php的解析办法之一,昨天在FreeBSD上测试可用.www.110hack.com

在httpd.conf配置文件中,搜索Directory节点,增添新的节点;

<Directory "/www/home/upload">

AddType text/html .php

</Directory>

将php文件解析为html,浏览者看到的是自己的源码了,hoho.

方才又找到一种办法,关闭途径/www/home/upload的php解析:

<Directory "/www/home/upload">

<Files ~ ".php">

Order allow,deny

Deny from all

</Files>

</Directory>

限制针对php文件的解析,关于*.php.*这种文件,可以增添上便可.

 

其实还有一种办法就是将图片文件上传到一个单独的文件夹,给一个二级的域名,这样不给这个虚拟站点解析权限.目前很多网站是采取的这种方法.

关闭虚拟主机的php解析:

<VirtualHost code.neeao.com>

...

<Files ~ ".php">

Order allow,deny

Deny from all

</Files>

</VirtualHost>