使用者空間該如何設定才安全? - BBS

※ 引述《fbiceo (執行長)》之銘言：
: 例如使用者user在/home/user的空間中有一個www資料夾是對應到網頁目錄
: 該如何設定權限不會讓其他使用者可以看到www下面的資料 AND 網頁可以正常使用
: 有些有心人士會去看網頁的相對路徑來找密碼
: 利如架設phpbb這支論壇，/home/user/www/phpbb/config.php這個檔案就存有資料庫
: 的帳號密碼
: 目前做法是把config.php的owner設為www 並且 權限為 400
: 不知道有沒有其他作法可以實行呢?
: 我知道一定沒辦法檔SUPER USER 只想避免讓其他一般user偷看
設定 login.access
#只有admin和root才能登入
-:ALL EXCEPT admin root:ALL

設定 ftpchroot
#ftp時, 只有root才能瀏覽根目錄, 其他user都只能看到自己的目錄
root /
@

另外如果你的網頁可以讓使用者放php的話
可以考慮把safe mode開起來
disable_functions = passthru, exec, shell_exec, system, popen
php_admin_value open_basedir "/usr/local/www/data" 等等 ..

--
http://www.wretch.cc/blog/dingyuchi

--