5.1. 如何以非特权用户身份运行 Caudium;如何保护 Caudium 的安全
Web 服务器通常是公开访问的,代表您的公司、团体或实体,因此您可能希望加强此服务的安全性。
找到一个合适的用户名。此用户名应为具有最低权限的普通用户。许多发行版已经为此设置了专用帐户。常用名称包括 "www"、 "www-data"、 "httpd"、 "nobody" (在 Debian GNU/Linux 上,Caudium 默认以 www-data:www-data 身份运行)。我们不推荐使用 "nobody";引用 Theo de Raadt 的话:
在 Caudium 源代码安装中,以下命令应该可以完成这项工作
# chown -R www-data.www-data logs/ var/ argument_cache/ bgcache/ configurations/ server/*.pem server$ ls -l total 32 drwxr-sr-x 6 www-data www-data 4096 Feb 13 23:17 argument_cache drwxr-sr-x 2 www-data www-data 4096 Feb 19 09:27 bgcache drwxr-sr-x 2 www-data www-data 4096 Mar 4 22:28 configurations drwxr-sr-x 4 root staff 4096 Feb 13 23:16 local drwxr-sr-x 7 www-data www-data 4096 Mar 3 11:50 logs drwxr-sr-x 2 root staff 4096 Feb 13 23:16 readme drwxr-sr-x 19 www-data www-data 4096 Feb 19 20:13 server drwxr-sr-x 2 www-data www-data 4096 Mar 3 19:28 var $ id www-data uid=33(www-data) gid=33(www-data) groups=33(www-data)
我现在将谈论如果您对安全性要求非常严格,可以采取的一般安全措施。
由于 Caudium 是单进程服务器,因此可以使用用户脚本停止、重启、访问等。这包括 Pike 脚本、Pike 标签和 Caudium 的 PHP 模块。
如果您确实想让用户运行脚本,您可以始终使用 CGI,或者更好的 uniscript(在这种情况下,它对用户是透明的),以便使用 fork(2) 系统调用在单独的进程中运行脚本。这将降低 Caudium 的性能,但安全是有代价的,这取决于您决定付出多少代价。
物理限制对 CIF. 的访问。如果可能,请勿从 Internet 访问它。很少有人知道这一点,但现在可以通过中间人攻击以明文形式查看 SSL 连接。dsniff 软件包含所有工具和对此的解释。
关闭任何特定于模块的调试选项。这些选项是为开发人员准备的,他们在调试输出时没有考虑到安全性。
实际上,这是通过混淆来提高安全性,并不会真正增加服务器的安全性。
--Grendel