我正在使用这个应用程序:
Options +FollowSymLinks -SymLinksIfOwnerMatch
我担心这种方法可能带来的安全问题。你有什么措施可以采取,使这种方法尽可能安全?
1个回答
3
没有什么具体的方法可以使使用这些选项尽可能安全。使用它们的风险在于用户或运行在用户下的进程可以通过创建符号链接来披露信息甚至劫持内容。例如,如果一个非特权用户(可能已被攻击)想要读取他们通常不能读取的文件,他们可以通过从他们的public_html目录创建一个符号链接到该文件来进行升级,如果apache可以读取该文件,他们就可以访问其网页并读取该文件。除了确保系统得到适当修补和配置之外,你无法做任何具体的事情来防止这样的事情发生。
请注意,这种威胁不仅来自您系统上的用户。如果您在运行php等web应用程序,并且某种方式被攻击,攻击者可以上传php文件浏览器并创建到文档根目录之外内容的符号链接(例如到/ etc / passwd或其他您不希望曝光给web的文件)。
如果您担心这些问题,最好不要使用这些选项。
- Jon Lin
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 7 WordPress选项FollowSymLinks错误
- 34 选项FollowSymLinks或SymLinksIfOwnerMatch已关闭。
- 5 打开RewriteEngine会导致403错误 - 如何打开FollowSymLinks?
- 4 FollowSymLinks错误 "Not allowed here"
- 5 Apache .htaccess如何将index.html重定向到根目录?为什么需要使用FollowSymlinks和RewriteBase?
- 4 允许覆盖(AllowOverride)安全问题
- 10 htaccess 的 Options +FollowSymLinks 导致了 500 内部服务器错误。
- 49 .htaccess中的选项FollowSymLinks和Indexes是什么意思?
- 6 设置Access-Control-Allow-Origin的可能安全问题
- 43 什么是Options +FollowSymLinks?