CPanel - Как остановить запуск Apache от имени пользователя root?

Question 1

Если вы хотите, чтобы каждый сайт работал как его собственный пользователь, правильная настройка PHP 5 Handler — 'suPHP', а не 'CGI'. После того, как вы измените это, вы должны увидеть, что ваши whoamiотчеты содержат отдельных пользователей.

Обратите внимание, что вам может потребоваться запустить EasyApache и выбрать "Mod SuPHP" во время этого процесса, чтобы перекомпилировать Apache / PHP, чтобы эта опция была доступна в первую очередь. Это делается в:

Главная >> Программное обеспечение >> EasyApache (Apache Update) или в командной строке/scripts/easyapache

Answer

Если вы хотите, чтобы каждый сайт работал как его собственный пользователь, правильная настройка PHP 5 Handler — 'suPHP', а не 'CGI'. После того, как вы измените это, вы должны увидеть, что ваши whoamiотчеты содержат отдельных пользователей.

Обратите внимание, что вам может потребоваться запустить EasyApache и выбрать "Mod SuPHP" во время этого процесса, чтобы перекомпилировать Apache / PHP, чтобы эта опция была доступна в первую очередь. Это делается в:

Главная >> Программное обеспечение >> EasyApache (Apache Update) или в командной строке/scripts/easyapache

Question 2

Сам Apache, скорее всего, запущен как пользователь apache, но благодаря SuExec, PHP-скрипты, принадлежащие root, будут запущены как root. Вот почему ваша whoamiкоманда возвращает пользователя root.

Если вы измените владельца файлов в корневом каталоге документов на «apache» или «www-data» (в зависимости от того, какой из них использует ваш сервер), то эта же команда вернет нового владельца файла.

Вероятно, также стоит убедиться, что все ваши PHP-скрипты chmod 555и каталоги не принадлежат тому же пользователю, что и файлы. Это позволит CGI выполнять скрипты, но будет означать, что если в одном из PHP-скриптов будет обнаружена уязвимость, он не сможет изменить себя или любой другой скрипт, и не сможет создать новый скрипт в любом из каталогов. Есть еще много вещей, которые может сделать злоумышленник, если он обнаружит уязвимость в PHP-скрипте, но все, что вы можете сделать, чтобы усложнить ему задачу, стоит того.

Answer

Сам Apache, скорее всего, запущен как пользователь apache, но благодаря SuExec, PHP-скрипты, принадлежащие root, будут запущены как root. Вот почему ваша whoamiкоманда возвращает пользователя root.

Если вы измените владельца файлов в корневом каталоге документов на «apache» или «www-data» (в зависимости от того, какой из них использует ваш сервер), то эта же команда вернет нового владельца файла.

Вероятно, также стоит убедиться, что все ваши PHP-скрипты chmod 555и каталоги не принадлежат тому же пользователю, что и файлы. Это позволит CGI выполнять скрипты, но будет означать, что если в одном из PHP-скриптов будет обнаружена уязвимость, он не сможет изменить себя или любой другой скрипт, и не сможет создать новый скрипт в любом из каталогов. Есть еще много вещей, которые может сделать злоумышленник, если он обнаружит уязвимость в PHP-скрипте, но все, что вы можете сделать, чтобы усложнить ему задачу, стоит того.

CPanel - Как остановить запуск Apache от имени пользователя root?

решение1

решение2

Связанный контент