redhat / ความปลอดภัย / ปรับปรุง / backporting / sccid3093Note ว่าความคิดของคุณก็จะหมายความว่าถ้ามีคนเปลี่ยนแปลงแบนเนอร์ที่จะแสดงบางสิ่งบางอย่างที่แตกต่างจากสิ่งที่โปรแกรมเป็นแล้วมันจะต้องเป็นอย่างนั้นและแม้กระทั่งการปิดการใช้งานจอแสดงผลรุ่นซอฟต์แวร์ไม่จำเป็นต้องหมายความว่ารุ่นจะสมบูรณ์ hidden. As ผมกล่าวว่าก่อนหน้านี้แพคเกจตาม distros โดยทั่วไปแล้วจะย้ายกลับการแก้ไขต่อไปตัวอย่างที่สมบูรณ์แบบเป็นสิ่งหนึ่งที่เป็นที่กล่าวถึงในบทความนี้: CentOSสังเกตว่า CentOS 6.x ยังคงอยู่ในต้นไม้เคอร์เนล 2.6.x และต้นไม้เคอร์เนลปัจจุบันคือ 3.6 และมีเสถียรภาพปัจจุบัน 3.6.4คาดเดาสิ่งที่แม้ว่า CentOS ยังคงปรับปรุงแพคเกจเมื่อมีความจำเป็น (และเอาใจใส่มักจะแก้ไขความปลอดภัยเพียงพอรวม)ถ้าคุณต้องการแน่นอนล่าสุดไปแล้วสำหรับ distro ที่มีรุ่นใหม่ แต่สังเกตว่ารุ่นใหม่สามารถถือเอาการ: ข้อบกพร่องใหม่ปัญหาความเข้ากันใหม่ปัญหาใหม่ทั่วไปนอกจากนี้สำหรับการพูด Fedora เมื่อเทียบกับ CentOS, CentOS ท้ายของเวลาชีวิต (10 ปี) เป็นนานกว่า Fedora (2 ปีถ้าผมจำได้) และนั่นหมายความว่าการปรับปรุงถูกนำมาใช้อีกต่อไป too. The ความเป็นจริงตามแพคเกจเอาใจใส่ distros เป็นพระพรและผมก็ไม่รักการเขียนโปรแกรมเท่านั้นฉันได้ใช้ distros ที่ถูกสร้างขึ้นทั้งหมดมาจากแหล่งที่มาและที่คล้ายกัน (เช่นในลินุกซ์จากรอยขีดข่วนและ Gentoo)ฉันยังมีอยู่ช่วงหนึ่งที่ทำงานใน distro ของตัวเอง (และฉันไม่ได้หมายความว่า rebranding) และในขณะที่ความสนุกมันจะบ้าที่จะใช้ในของตัวเองถ้าผมจะให้มันปรับปรุงและมีเสถียรภาพและที่จุดสุดท้ายคือเหตุผลที่ distros ไบนารีเป็นประโยชน์ความเข้ากันได้ (โปรแกรมที่สร้างขึ้นสำหรับรุ่นหนึ่งของห้องสมุดอย่างดีอาจจะไร้ประโยชน์หากห้องสมุดไม่ได้เป็นรุ่นนั้น) ความมั่นคง (และสิ่งที่เป็นจุดของเซิร์ฟเวอร์ถ้ามันไม่เสถียร) และอื่น more. And อีกสิ่งหนึ่งที่ผมอีกคิดถูกกล่าว (ถ้าเป็นเช่นนั้นผมไม่ได้อ่านมันเป็นเช่นนี้)ทำไมทุกคนจะพิจารณาโปรแกรมห่อหุ้มพร้อมกับแพคเกจโปรแกรมตรวจสอบว่ามีคำนำหน้าและเช่น แต่ที่จะนำไปสู่ปัญหาอื่น ๆ เช่นเดียวกับการรักษาและปรับปรุงใช่ที่เป็นไปได้และมีทางเลือกในการเอาใจใส่ของมัน แต่ถ้าคุณไม่พิจารณาทางเลือกเหล่านั้นมันเท่ากับภาวะแทรกซ้อนมากขึ้นซึ่งจะนำไปสู่ปัญหาอื่น ๆ อีกมากมายแพคเกจตาม distros ช่วยให้มีความสมบูรณ์และยื่น clashes. Think เกี่ยวกับเรื่องนี้มากเกินไป: มนุษย์ไม่สมบูรณ์และไม่ว่าสิ่งที่คุณทำคุณในช่วงเวลาที่จะทำผิดพลาดนั่นหมายถึงการเขียนโปรแกรมทำมากเกินไปรวมทั้งข้อบกพร่องที่น่ารังเกียจที่มีความมั่นคงและมีผลบังคับใช้การรักษาความปลอดภัย (และสิ่งอื่น ๆ )นี้เกิดขึ้นเป็นจำนวนมากตัวผมเองมีความผิดในการทำผิดพลาดโง่มากในโครงการของฉันที่ก่อให้เกิดปัญหาความมั่นคงมันเป็นช่วงเวลาที่ฉันไม่ควรได้รับการทำงานในการเขียนโปรแกรมใด ๆ (วิธีเหนื่อยเกินไป) แต่ไม่ได้ตระหนักว่าผล End: ความเสียหายฮีปซึ่งเป็นความเจ็บปวดที่แท้จริงในการติดตามโชคดีที่ฉันไม่ได้รับมันเรียงได้อย่างรวดเร็ว แต่มันก็ยัง ugly. I จะไม่ไว้วางใจใด ๆ ของคำสั่งที่กล่าวถึงการติดตาม phpbackdoors ตั้งแต่สคริปต์ที่สามารถสร้างขึ้นยังอยู่ใน phpencoders และยากจึงจะเป็น identifyed. As allways ผมก็จะไว้วางใจขาออก / indboundmonotor หรือระบบ intrustion ใด ๆ ไม่ว่า what. The วิธีที่ดีที่สุดของการรักษาความปลอดภัย PHP คือการใช้ suPHP หรือ Apache-mod-itk (ต้องใช้ของ Apache จะทำงานเป็นรากเพื่อที่จะสามารถแยก / setuid ให้กับผู้ใช้เว็บไซต์ในการทำงานสคริปต์)เพื่อเรียกใช้สคริปต์ในขณะที่ผู้ใช้ที่เป็นเจ้าของเว็บไซต์ที่เฉพาะเจาะจงมากกว่าการใช้เว็บเซิร์ฟเวอร์และยังปิดการใช้งาน allowurlinclude (นี้จะทำให้มันเป็นไปไม่ได้ที่จะใช้รวม () หรือต้องการ () ในการดำเนินการแหล่งภายนอกยังคงช่วยให้ filegetcontents () / readfile() และอื่น ๆ ที่จะคว้าไฟล์ถูกต้องตามกฎหมายภายนอกเช่น RSS ฟีดและอื่น ๆ ) ดี writeup วิเวกอะไรที่ความคิดเห็นของคุณในการทำงานเซิร์ฟเวอร์ Apache บน fastcgi / FPM / Suhosinจากมุมมองของการรักษาความปลอดภัยเป็น suexec จำเป็นหรือบังคับใช้ในลักษณะของการตั้งค่านี้หรือมันเพียงพอที่จะสร้างสระว่ายน้ำ FPM แยกต่างหากที่มีผู้ใช้ที่ไม่ใช่ priveleged สำหรับแต่ละ vhostIve พบบทความที่ดีฉันมีเพียงคำถามซึ่งผู้ใช้ควรจะนำมาใช้ในการปรับใช้ไฟล์ไปยังเว็บไซต์ที่ไม่ Deployer มีการเข้าถึงรากฉันควร su ของ Apache หรือจะเป็นดีกว่าที่จะเพิ่มผู้ใช้ของฉันไปที่กลุ่ม Apache และมี 775 ทั้งหมด treeIdeally คุณจะมีผู้ใช้ Deployer (Ive ติดตั้งเห็นว่าการใช้เจนกินส์หรือทุบตีธรรมดาใช้ชื่อผู้ใช้อื่น ๆ ที่จะทำให้งงงวยผู้ใช้งาน) ที่มีการเขียนข้อมูลในไดเรกทอรีที่คุณต้องการในการปรับปรุง (/ var / www /) แต่มีการเข้าถึงจากภายในไฟร์วอลล์ VPN ของคุณ / ลาน (เช่น 10.10.10.101).พวกเขาจะต้องอ่านและเขียน (แต่ไม่ดำเนินการ) สิทธิ์ในไดเรกทอรีที่พวกเขาปรับ to. What คำแนะนำของคุณจะเป็นสำหรับการตั้งค่า openbasedir ฉันได้เห็นรายงานที่ขัดแย้งกันคุณต้องการที่จะทำ / home / ผู้ใช้ / publichtmlor เพียง / home / userI ยังได้เห็นการกล่าวถึง / home / tmpI ไม่ได้เห็นคำอธิบายที่ชัดเจนของวิธีการตั้งค่าเพื่อหลีกเลี่ยงปัญหาลงที่ถนน. (ฉันใช้ FastCGI เพื่อให้มีจะตั้งอยู่ในแต่ละผู้ใช้แก้ไขไฟล์ php. ini) 1) อิ่มสับสนกับ openbasedir และ uploadtmpdirผมคิดว่า uploadtmpdir ไม่ควรจะเป็นภายใน openbasedirการเรียกใช้โค้ดทำไมควรจะเกิดขึ้นในไดเรกทอรีอัปโหลดขณะนี้ฉันได้ตั้งมัน openbasedir ภายนอกและฉันมีเพียงคำเตือนเมื่ออัปโหลดภาพในการติดตั้งเวิร์ดเพรสเพราะมันพยายามที่จะกำหนดประเภทของไฟล์ภายในไดเรกทอรีอัปโหลดซึ่งผมคิดว่ามันไม่ควรพยายามที่จะทำเช่นนี้ในสถานที่แรกอิ่มยังเรียนว่าที่ทุกสิ่งทุกอย่างทำงานได้อย่างถูกต้องรวมทั้งปลั๊กอินอัปโหลดไฟล์ ETC1) วิธีการที่ PHP ดำเนินการ uploadtmpdir จะต้องมีภายใน openbasdedir ถ้าของชุดมิฉะนั้นจะไม่สามารถเขียนไปยังไดเรกทอรีเมื่อผู้ใช้อัปโหลดไฟล์เก็บไว้ในใจว่าที่คุณควรจะย้ายทันทีแฟ้มชั่วคราวเมื่อผู้ใช้อัพโหลดยังจำได้คุณสามารถมีไดเรกทอรีหลาย openbasedir แยกกับลำไส้ใหญ่ (:). 2) ไม่แน่ใจว่าสิ่งที่คุณหมายถึงการเรียกใช้โค้ด แต่ผมถือว่าคำถามแรกของคุณ, คุณหมายถึงการตั้งค่า openbasedirเท่าที่ผมรู้ว่าเซสชั่นการบันทึกเส้นทางที่ได้รับอิทธิพลจากความต้องการ openbasedir ดังนั้นสถาบันฯ จะรวมอยู่ในรายการ openbasedir เป็น well.
