Есть ли какие-то особые шаги, которые нужно предпринять для защиты Галерея? В частности, у меня сейчас есть Fedora RPM gallery2-2.3-1.fc8 установлены. я должен selinux включен в целевом режиме, что является хорошим уровнем защиты. Я нашел галерею документация по безопасности. Мне просто было интересно, есть ли что-нибудь еще, на что я должен обратить внимание, чтобы убедиться, что это защищено от внешних атак.
Меня гораздо меньше беспокоят местные атаки. Я просто хочу убедиться, что публикация этого сообщения в Интернете не приведет к взлому моего сервера.
Gallery собрала деньги на аудит безопасности основных пакетов. Они делают довольно хорошую работу. Я бы доверял им больше, чем, например, wordpress. Оба продукта страдают одной и той же проблемой, ни один из плагинов не изолирован и часто совершает глупые вещи. Следите за плагинами (основными или самыми популярными), и все будет в порядке.
Также, конечно, попробуйте запускать каждое приложение от имени другого пользователя, чтобы устранить нарушения безопасности. И держите папку с данными галереи вне корня документа. Галерея также любит память, поэтому, если вы можете немного увеличить свой предел памяти php, это всегда улучшает производительность.
Согласовано; команда Gallery очень хорошо поддерживает свой код.
Тем не менее, лучшая защита для любого PHP-приложения - это сам сервер. Убедитесь, что вы не используете Apache как root, не тратьте время на так называемый safe_mode, отключите индексы каталогов, не оставляйте файлы резервных копий (например, файлы foo.bar ~ vi, где находится файл конфигурации, содержащий ваш пароль mysql можно хранить) вокруг.
Сама галерея кажется довольно безопасной, просто убедитесь, что вы используете последние стабильные версии и следите за обновлениями.
Документация по безопасности Галереи довольно тщательна; если вы так сильно защищаете Галерею, ваша главная забота должна быть связана с другими способами атаки, такими как ошибки в самом php или в ssh или любых других службах, которые вы используете.
При включенной целевой политике SELinux вам действительно следует проверить, в каком контексте / домене SELinux работают службы, с которыми работает ваша сеть (или с локальным пользователем). Попробуйте использовать параметр -Z для ps. если это undefined_u: Unlimited_r: Unlimited_t, это мало для вас делает. Вы можете изменить это, конечно, установив правильный модуль политики (см. Такие инструменты, как seinfo, semanage, semodule). Если у вас нет определенной политики для службы / приложения, вам необходимо создать свою собственную. Теперь существуют инструменты, которые помогают в этом, такие как SLIDE (плагин eclipse) и seedit. Вам нужно будет просмотреть свои журналы аудита (обычно /var/log/audit/audit.log)