四、其它安全配置

1、取消其它用戶對(duì)常用、重要系統(tǒng)命令的讀寫執(zhí)行權(quán)限

一般管理員維護(hù)只需一個(gè)普通用戶和管理用戶，除了這兩個(gè)用戶，給其它用戶能夠執(zhí)行和訪問的東西應(yīng)該越少越好，所以取消其它用戶對(duì)常用、重要系統(tǒng)命令的讀寫執(zhí)行權(quán)限能在程序或者服務(wù)出現(xiàn)漏洞的時(shí)候給攻擊者帶來很大的迷惑。記住一定要連讀的權(quán)限也去掉，否則在linux下可以用/lib/ld-linux.so.2 /bin/ls這種方式來執(zhí)行。

如果要取消某程如果是在chroot環(huán)境里，這個(gè)工作比較容易實(shí)現(xiàn)，否則，這項(xiàng)工作還是有些挑戰(zhàn)的。因?yàn)槿∠�一些程序的�?zhí)行權(quán)限會(huì)導(dǎo)致一些服務(wù)運(yùn)行不正常。PHP的mail函數(shù)需要/bin/sh去調(diào)用sendmail發(fā)信，所以/bin/bash的執(zhí)行權(quán)限不能去掉。這是一項(xiàng)比較累人的工作，

2、去掉apache日志其它用戶的讀權(quán)限

apache的access-log給一些出現(xiàn)本地包含漏洞的程序提供了方便之門。通過提交包含PHP代碼的URL，可以使access-log包含PHP代碼，那么把包含文件指向access-log就可以執(zhí)行那些PHP代碼，從而獲得本地訪問權(quán)限。

如果有其它虛擬主機(jī)，也應(yīng)該相應(yīng)去掉該日志文件其它用戶的讀權(quán)限。

當(dāng)然，如果你按照前面介紹的配置PHP那么一般已經(jīng)是無法讀取日志文件了。