答案1
Gallery 已经筹集资金用于核心软件包的安全审计。他们做得相当不错。我比 wordpress 更信任他们。这两款产品都存在同样的问题,没有一个插件是沙盒化的,而且经常会做出愚蠢的事情。不要过多关注插件(核心或最受欢迎的插件),这样就没问题了。
当然,还要尝试以不同的用户身份运行每个应用程序,以遏制安全漏洞。并将 Gallery 数据文件夹置于文档根目录之外。Gallery 也喜欢内存,因此如果您可以稍微提高 php 内存限制,它总是可以提高性能。
答案2
Gallery 安全文档非常详尽;如果您如此重视 Gallery 的安全,那么您主要担心的应该是其他攻击途径,例如 php 本身或 ssh 或您正在运行的其他服务中的错误。
答案3
Gallery 本身看起来相当安全,只需确保您运行最新的稳定版本并保持更新即可。
答案4
启用 SELinux 目标策略后,您确实应该检查面向网络(或面向本地用户)的服务正在以什么 SELinux 上下文/域运行。尝试 ps 的 -Z 选项。如果它是 unconfined_u:unconfined_r:unconfined_t,它对您没有多大帮助。当然,您可以通过安装正确的策略模块来更改这一点(请参阅 seinfo、semanage、semodule 等工具)。如果您没有为服务/应用程序定义策略,则需要创建自己的策略。现在有一些工具可以帮助实现这一点,例如 SLIDE(eclipse 插件)和 seedit。您需要查看您的审计日志(通常是 /var/log/audit/audit.log)