Как вы защищаете фотогалерею "галерея"?
Есть ли какие-то особые шаги, которые необходимо предпринять для обеспечения безопасности галереи? В частности, у меня в настоящее время есть Fedora RPM gallery2-2.3-1.fc8 установлены. я должен selinux включен в целевом режиме, который является хорошим уровнем защиты. Я нашел документацию по безопасности галереи. Мне было просто интересно, есть ли что-нибудь еще, на что я должен обратить внимание, чтобы убедиться, что это защищено от внешних атак.
Я гораздо меньше беспокоюсь о локальных атаках. Я просто хочу убедиться, что раскрытие этого в общедоступном Интернете не приведет к взлому моего сервера.
5 ответов
Галерея собрала деньги на аудит безопасности основных пакетов. Они делают довольно хорошую работу. Я бы доверял им больше, чем WordPress, например. Оба продукта страдают от одной и той же проблемы, ни один из плагинов не помещается в "песочницу" и часто делает глупости. Следите за плагинами (основными или самыми популярными), и все будет в порядке.
Также, конечно, попробуйте запустить каждое приложение от имени другого пользователя, чтобы избежать нарушений безопасности. И держите папку данных галереи вне корня документа. Галерея также любит память, поэтому, если вы можете немного увеличить ограничение памяти php, это всегда повышает производительность.
Сама галерея выглядит довольно безопасной, просто убедитесь, что вы используете последние стабильные версии и всегда в курсе обновлений.
Документы по безопасности галереи довольно тщательные; если вы так много защищаете Gallery, вашей главной заботой должны быть другие способы атаки, такие как ошибки в самом php или в ssh или любых других службах, которые вы используете.
Согласовано; Команда Галереи очень хорошо держит свой код в хорошем состоянии.
Тем не менее, лучшая защита для любого PHP-приложения - это сам сервер. Убедитесь, что вы не используете Apache от имени пользователя root, не тратьте время на так называемые safe_mode, отключайте индексы каталогов, не оставляйте резервные файлы (например, файлы vi's foo.bar ~, где находится файл конфигурации, содержащий ваш пароль mysql). может храниться) вокруг.
При включенной целевой политике SELinux вы должны действительно проверить, в каком контексте / домене SELinux работают ваши сетевые (или локальные) службы. Попробуйте опцию -Z для пс. если оно не определено: не определено: не определено, это мало что для вас значит. Конечно, вы можете изменить это, установив нужный модуль политики (см. Такие инструменты, как seinfo, semanage, semodule). Если у вас нет определенной политики для службы / приложения, вам нужно создать свою собственную. Теперь существуют инструменты, которые помогают этому, такие как SLIDE (eclipse plugin) и seedit. Вам нужно будет просмотреть ваши журналы аудита (обычно /var/log/audit/audit.log)