當服務(wù)器/主機【被】提交了漏洞到烏云網(wǎng)上該怎么辦?有人給出的答案是采用禁用函數(shù)的方法來保證服務(wù)器環(huán)境的安全��。
但是��,禁用函數(shù)真的是最好的選擇么?不是的!
AMH面板的開發(fā)者Amysql告訴我們,更好的選擇是Chroot!
AMH面板是一款LNMP面板��,一方面���,為了方便版本升級��,另一方面��,面板是開發(fā)者一個人開發(fā)的,所以AMH沒有像kangle,WDCP,LUM,webmin等采用二進制文件實現(xiàn)平臺的環(huán)境���,而是使用基于AMP的PHP程序來控制平臺。這樣���,就要考慮到PHP的安全問題了。由于PHP寫成的程序��,所以需要大量的的使用exec,shell_exec兩個函數(shù)來實現(xiàn)面板和系統(tǒng)的信息交換處理��。顯然�����,小蔣給出的限制函數(shù)的方法并不適合AMH這樣的面板。那么��,Amysql如何解決PHP的運行安全問題呢?
Amysql采用了這樣的方法。對于AMH下的虛擬主機��,一律開啟Chroot來保證安全�����,而控制臺PHP則關(guān)閉chroot來保證面板的正常運作�����。
說了這么多,那么什么是Chroot呢?
據(jù)維基百科的詞條解釋���,Chroot本是Unix下的一個命令�����,但是��,在PHP-FPM中,也是引入了這一功能���。
維基詞條:chroot是在unix系統(tǒng)的一個操作,用于對當前的程序和它的子進程改變真實的磁盤根目錄。
Chroot的工作原理是什么呢?
由于LNMP環(huán)境下,PHP-FPM與Nginx的通信只能通過CGI實現(xiàn)���,所以,如果你在FPM設(shè)置中對文件的根目錄進行修改,那么�����,你的PHP程序就無法跨越這個指定的根目錄�����。而面板所在的虛擬主機�����,由于沒有開啟Chroot,所以使用的根目錄依然是系統(tǒng)的根目錄 /
具體解釋一下?
就拿我用的AMH面板的控制臺和普通虛擬主機來說明��?�?刂婆_文件放在/home/Wwwroot/Index/Web文件夾下��,普通主機的文件放在/home/wwwroot/Domain/web文件夾下。對于控制臺程序���,由于沒有開啟Chroot���,所以���,這個PHP文件的實際位置和運行位置相同���,都是/home/wwwroot/Index/web/��,而其根目錄就是/;對于普通虛擬主機��,開啟Chroot,那么,雖然��,運行的文件的位置是/home/wwwroot/domain/web/index.php���,但是經(jīng)過Chroot的導向�����,在PHP程序中�����,實際認為的文件地址是/web/index.php。同時在/home/wwwroot/domain/為了使入侵者認為自己進入的是根系統(tǒng),而仿照Unix的文件夾命名規(guī)則��,創(chuàng)建了etc,usr,tmp,lib等文件夾�����,如同為PHP程序創(chuàng)建了一個沙盒.所以��,使用Chroot的用戶不用害怕中國軍刀��,因為他只能在沙盤內(nèi)起作用�����,無法對主系統(tǒng)產(chǎn)生影響�����,從而造成經(jīng)濟損失。
沙盒(英語:sandbox)��,有時也稱為沙箱���,是為一些來源不可信��、具備破壞力或無法判定程序意圖的程序提供試驗的環(huán)境���。然而���,沙盒中的所有改動對操作系統(tǒng)不會造成任何損失�����。通常,這種技術(shù)被計算機技術(shù)人員廣泛使用���,尤其是計算機殺毒軟件行業(yè),沙盒是一個觀察計算機病毒的重要環(huán)境�����。
我們都知道��,在類Unix系統(tǒng)中��,所有程序��,甚至設(shè)備�����,都是由文件表示,我們所使用的ls,wget命令,事實上都對應(yīng)著一個特定的可執(zhí)行文件���,而當我們使用Chroot后,由于/home/wwwwroot/domain/usr下沒有相應(yīng)的文件���,也就無法執(zhí)行相應(yīng)的命令。從而保證系統(tǒng)信息的安全���。
與禁用函數(shù)相比,Chroot有什么優(yōu)點呢?
禁用函數(shù)是針對整個PHP程序而言的�����,所有需要通過PHP程序進行解析的文件���,都會受到禁用函數(shù)的設(shè)置�����。網(wǎng)站程序不同��,那么有可能需要的函數(shù)不同,不同的虛擬主機無法單獨設(shè)置�����。而Chroot可以根據(jù)不同的虛擬主機,進行特異化設(shè)置���。對于需要使用特殊函數(shù)的程序���,可以關(guān)閉Chroot��,來保證網(wǎng)站程序的正常運轉(zhuǎn);程序不需要調(diào)用特殊的程序���,就可以開啟Chroot模式;如果只是要啟用一個或兩個特定的程序���,你可以仿照如下的過程添加函數(shù)��。比如說,當我們開啟Chroot時���,PHP程序是無法使用sendmail()函數(shù)來發(fā)信的,我們可以使用mini_sendmail替代sendmail來修復發(fā)信���。
cd /home/wwwroot/www.ixiqin.com/
cp -P /bin/bash /bin/sh bin
cp /etc/passwd /etc/group etc
cd /tmp
wget http://centos.googlecode.com/files/mini_sendmail-1.3.6.tar.gz
tar xzf mini_sendmail-1.3.6.tar.gz
cd mini_sendmail-1.3.6
make
cp mini_sendmail /home/wwwroot/www.ixiqin.com/usr/sbin/sendmail
以上代碼,在/tmp目錄下編譯mini_sendmail��,然后將生成的可執(zhí)行文件復制到chroot后目錄下相應(yīng)位置��,以保證發(fā)件系統(tǒng)的正常運行�����。
非AMH用戶如何使用Chroot功能
如果你是AMH的用戶,那你就省心了,因為Amysql將這個功能集成到了模塊里���,而且默認情況下每一個虛擬主機都是開啟了安全模式的,你只需要在后臺下載AMChroot模塊,管理即可���。如果你不是AMH用戶,也可以使用這個功能,只需要修改Nginx和PHP-FPM的配置文件即可�����。由于要把domain站點限制在/home/wwwroot/domain���,所以對于php-fpm�����,此網(wǎng)站根目錄已經(jīng)變成是/web,所以我們需要更改Nginx傳遞給php-fpm的網(wǎng)站根目錄地址。
找到fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;��,更改為fastcgi_param SCRIPT_FILENAME /web$fastcgi_script_name;同時�����,將php-fpm.conf文件中的Chroot改為chroot = /home/wwwroot/domain
有什么需要注意的呢?
Tips One:Chroot模式下�����,各種探針,如雅黑探針將會失效��,報錯��。
Tips Two:Chroot模式可用做在線shell模擬器��,安全真實。
綜合以上分析�����,我建議��,與其使用死板的禁用函數(shù)��,我們?yōu)槭裁床辉囋嚫雍糜玫腃hroot。