Como definir permissões para www / dir e garantir que não surjam ameaças de segurança

Navegue suas respostas
1

Eu tenho uma situação peculiar. Eu tenho o VPS que uso em meus próprios projetos. Um amigo meu me pediu para hospedar seu blog wordpress.

Agora eu configurei meu VPS bem simples, todos os projetos estão em / www e o apache tem acesso de gravação a essas pastas (www-data), estou no servidor ubuntu 12.04.

Do lado mysql não há problema, esta instalação wp tem seu próprio DB / username-pass que tem acesso somente a este banco de dados.

Mas estou preocupado que, se a sua senha do wp-admin for comprometida, a segurança do meu VPS também poderá ser comprometida.

Estou pensando em chown / www / projectX para mim: eu. E dê permissão de gravação apenas para plugins e diretórios de upload de imagens. Mas, se tudo correr sob o mesmo usuário do apache, o hacker pode fazer o upload de scripts maliciosos para esses diretórios e, assim, ter acesso a meus outros projetos no servidor.

Existe algo que eu possa fazer para me proteger? pelo menos parcialmente?

Eu não quero proteger esta instalação específica do WP, eu quero proteger meus outros projetos a partir desta instalação do wp.

    
por Red Balloon 19.02.2014 / 18:38

1 resposta

1

Esses dois passos farão com que você fique 90% + do caminho para um sistema de hospedagem seguro (do ponto de vista da prevenção de ataques de escalonamento entre sites):

Etapa 1: não execute tudo como www-data

Use um sistema como php-fpm para executar cada site em seu próprio usuário. Dessa forma, um compromisso em uma conta não pode ler automaticamente o conteúdo de qualquer outro site, como senhas de banco de dados e outras chaves secretas.

Etapa 2: restringir permissões

Verifique se as permissões em cada site não permitem que os outros usuários do site leiam nada. Um truque fofo para fazer isso é definir o grupo do diretório base de cada site para algum grupo comum do qual todos os usuários do site fazem parte (talvez chamá-lo websites ) e, em seguida, definir os perms nesse diretório como 0701 , para que os usuários do grupo não possam entrar no diretório.

    
por 13.08.2015 / 01:24

Tags

servidor incapaz de encontrar rota para api.twitter.com Substitui as páginas de erro padrão do Apache