Это не бесполезно - это - специализированная форма плоскости >
оператор перенаправления (и, возможно, смутно, ничто, чтобы сделать с каналами). bash
и большинство других современных оболочек имеет опцию noclobber
, который препятствует тому, чтобы перенаправление перезаписало или уничтожило файл, который уже существует. Например, если noclobber
верно, и файл /tmp/output.txt
уже существует, затем это должно перестать работать:
$ some-command > /tmp/output.txt
Однако можно явно переопределить установку noclobber
с >|
оператор перенаправления - перенаправление будет работать, даже если noclobber
установлен.
Можно узнать если noclobber
установлен в Вашей текущей среде с set -o
.
Для исторического очерка и "noclobber" опция и ее обходные функции прибывают из csh
(в конце 70-х). ksh
скопированный это (в начале 80-х), но используемый >|
вместо >!
. POSIX, указанный ksh
синтаксис (так все оболочки POSIX включая удар, более новые производные пепла, используемые в качестве sh в некоторых системах, поддерживают его). Zsh поддерживает оба синтаксиса. Я не думаю, что это было добавлено к любому варианту Оболочки Bourne, но я мог бы быть неправым.
При поддержании сервера это доступно для Интернета, Вы действительно не можете выйти из потребности выполнить тестирование на возможность проникновения (иначе. pentesting) самостоятельно. Я обычно использую следующие инструменты, чтобы сделать это:
Я обычно прохожу это руководство при установке системы CentOS. Это характерно для RHEL5, но все в руководстве релевантно и должно придерживаться к. Это действительно конкретно обсуждает укрепляющийся Apache.
Поскольку Вы делаете теперь, рассматриваете любые аномалии и следуете им и удостоверяетесь, что понимаете их так, чтобы можно было весить, являются ли они потенциальным вектором для установки или нет.
Блог Eric Romang является довольно хорошим ресурсом для поиска этих уязвимостей. Конкретно вот использование, которое Вы замечаете: CVE-2012-1823 PHP Инжекция Аргумента CGI Демонстрация Metasploit. Можно также искать уязвимости в этих 2 базах данных:
PHP.CGI.Argument. Инжекционное использование позволяет удаленное выполнение кода на PHP, если используется в качестве CGI и если версия <= 5.3.12 или <= 5.4.2.
Ваше наблюдение тех строк в журналах брандмауэра не означает, что Вы уязвимы, только что someout там думает, что Вы могли бы быть. К тому эффекту, но это - только мое мнение, и у меня было несколько экспертов, не соглашаются сильно, имение Вашего сервера скрывается, его маркеры управления версиями могли бы быть контрпродуктивными, потому что потенциальные эксплуататоры попробуют все свои приемы - те, которые Вы могли бы быть уязвимы для, и те, которые Вы не. Если использование против FooScript выйдет, то Вы не будете сэкономлены просто, потому что Вы не рекламируете свое использование FooScript.
Так, что можно сделать (и я предполагаю, что Вы уже сделали), выполняется PHP как модуль, и/или обновите его, чтобы быть более поздней версией, чем уязвимые. После того как Вы больше не уязвимы, Вы могли бы хотеть дать брандмауэру команду отбрасывать такие попытки без предупреждения (конечно, Вы все еще хотите быть предупрежденными о других попытках!).
В целом можно также хотеть проверить один или несколько сканеров уязвимости.
На PHP как модуль или CGI
PHP может быть установлен различными способами. Как модуль (mod_php5
), это "живет" в рамках процесса Apache, по умолчанию с теми же правами. Вы могли думать о нем как о возможности PHP, которая получает "встроенный" внутренний Apache, делая это "более умным". Пойти на компромисс mod_php
мог бы означать ставить под угрозу Apache (существуют коррективные меры, но все еще), и поэтому все его веб-сайты. Как CGI, это живет как отдельный процесс (несколько отдельных процессов), который, как думают некоторые, более безопасен, в то время как другой наблюдать это менее производительно (каждый вызов должен установить целый процесс снова). FastCGI находится где-нибудь в середине, но требует большего количества конфигурации; существует два или три аромата его.
Конфигурация смотрит хорошо; можно хотеть изменить эти значения, хотя:
KeepAlive On
DefaultType text/html
EnableMMAP On
mmap'ing может увеличить действия с рядом ни с какой стоимостью. Существуют некоторые протесты, но они обычно не релевантны (Вы проверите, является ли это Вашим случаем, конечно):
Это размещение в ОЗУ иногда приводит к повышению производительности. Но в некоторых средах, лучше отключить размещение в ОЗУ для предотвращения эксплуатационных проблем:
On some multiprocessor systems, memory-mapping can reduce the performance of the httpd. Deleting or truncating a file while httpd has it memory-mapped can cause httpd to crash with a segmentation fault.
Активное отключение может смягчить некоторый (D) DoS - видят рекомендации по безопасности - но обычно лучше принять другие меры вместо этого, как запрет (как Вы уже делаете), и это делает Сообщения проверки активности отключения в основном лишними; в то время как наличие их включает, улучшает производительность для "хороших" клиентов (также освобождающий ресурсы для контакта с плохими).
Тип контента по умолчанию text/html
не действительно релевантно, но я чувствую, что существует мало причины иметь Ваше среднее значение по умолчанию веб-сервера к простому тексту.
yum update
, проверьте, что php был установлен через yum
. Но я, кажется, помню, что только обновления незначительной вспомогательной версии являются автоматическими, другие могут повлиять на совместимость, и необходимо сделать их сами yumming соответствующий пакет, например, php54 или php55. Но проверьтесь, я мог бы помнить неправильно (я обычно использую застежку-молнию под OpenSuSE, прошло некоторое время, так как я работал над CentOS).
– LSerni
23.07.2013, 23:20
/etc/init.d/openvas-manager
. Вы следуете учебному руководству? Можно ли обеспечить URL раз так. Мы входим в вещи, которые выходят за рамки Вашего вопроса. – slm♦ 24.07.2013, 14:50