Когда я нахожусь в диспетчере файлов Webmin, я могу дважды щелкнуть и увидеть коды файлов на новой вкладке в Firefox с его конкретным URL-адресом.
Но когда я удаляю ?rand=xxxx... после file.php и вставьте URL-адрес в браузер Chrome, я все еще вижу коды.
Это URL-адрес, который я только что вставил в браузер Chrome.
http://xxx.xxx.xxx.xxx:10000/file/show.cgi/var/www/html/mysite.com/files/file.php
Затем я выхожу из webmin и меняю file.php с другим файлом я могу видеть коды.
Webmin безопасен? Как мне его обезопасить?
? Rand = - это прерыватель кеша. Это случайная строка, добавляемая к URL-адресу, чтобы убедиться, что полученная вами страница не кэшируется. Информация о вашем сеансе / входе в систему сохраняется в браузере с помощью файлов cookie, и на нее не влияет значение? Rand =.
Когда вы удалили часть? Rand =, вы удалили только функцию разрушения кеша из ваших запросов, хотя большинство браузеров не кэшируют это. Я считаю, что IE 6 из коробки используется для слишком агрессивного кеширования ответов, поэтому они ввели это исправление.
Ваш webmin в порядке. Я уверен, что все это связано с информацией о сеансе, хранящейся в базе данных, которую использует webmin.
Ваш сервер настолько же безопасен, насколько и вы. Хотя webmin снимает с вас большую часть нагрузки по обеспечению безопасности вашей системы, все же разумно «делать это долгим путем» и время от времени проверять ваши журналы.
Ключевое слово здесь для webmin - «Интернет», что означает, что информация хранится как в вашем браузере в виде файлов cookie, так и на вашем сервере в виде данных сеанса. Кроме того, если вы используете SSL для webmin (что вам следует, imho), тогда все ваши данные будут зашифрованы, сколько бы бит ни зашифрованы ваши сертификаты SSL.
Webmin - это инструмент, который вы можете использовать для администрирования вашего сервера. Вы должны разрешить доступ к нему только администраторам сервера. Думайте об этом как о доступе по FTP / SSH - он позволяет людям получать доступ к вашему серверу и вносить изменения в файлы, содержащиеся на нем.
Файловый менеджер в Webmin предоставляет те же функции, что и доступ по FTP. Так же, как вы видите PHP-код ваших файлов с помощью FTP, вы увидите их с помощью Webmin. Имеет ли это смысл?
Если вы используете webmin gpl, вы можете посмотреть исходный код и посмотреть, безопасно ли это для вас (а также спросить здесь мнение других). Если это webmin pro, вы можете позвонить в службу поддержки и убедиться, что вы не обнаружили ошибки.
один из способов удалить сохраненный сеанс из приведенного здесь уравнения - это попытаться перейти непосредственно к этому URL-адресу с компьютера, на котором ранее не выполнялся вход в Webmin. Если вы все еще можете получить доступ к файлу, у вас может быть проблема.