如何保护“画廊”照片库的安全?

如何保护“画廊”照片库的安全?

是否应采取任何特殊措施来确保画廊? 具体来说,我目前已安装 Fedora RPM gallery2-2.3-1.fc8。我确实已selinux启用目标模式,这是一个很好的保护层。我发现 Gallery安全文档。我只是想知道是否还有其他我应该注意的地方以确保它能够抵御外部攻击。

我不太担心本地攻击。我只想确保将其暴露在公共互联网上不会导致我的服务器被黑客入侵。

答案1

Gallery 已经筹集资金用于核心软件包的安全审计。他们做得相当不错。我比 wordpress 更信任他们。这两款产品都存在同样的问题,没有一个插件是沙盒化的,而且经常会做出愚蠢的事情。不要过多关注插件(核心或最受欢迎的插件),这样就没问题了。

当然,还要尝试以不同的用户身份运行每个应用程序,以遏制安全漏洞。并将 Gallery 数据文件夹置于文档根目录之外。Gallery 也喜欢内存,因此如果您可以稍微提高 php 内存限制,它总是可以提高性能。

答案2

Gallery 安全文档非常详尽;如果您如此重视 Gallery 的安全,那么您主要担心的应该是其他攻击途径,例如 php 本身或 ssh 或您正在运行的其他服务中的错误。

答案3

Gallery 本身看起来相当安全,只需确保您运行最新的稳定版本并保持更新即可。

答案4

启用 SELinux 目标策略后,您确实应该检查面向网络(或面向本地用户)的服务正在以什么 SELinux 上下文/域运行。尝试 ps 的 -Z 选项。如果它是 unconfined_u:unconfined_r:unconfined_t,它对您没有多大帮助。当然,您可以通过安装正确的策略模块来更改这一点(请参阅 seinfo、semanage、semodule 等工具)。如果您没有为服务/应用程序定义策略,则需要创建自己的策略。现在有一些工具可以帮助实现这一点,例如 SLIDE(eclipse 插件)和 seedit。您需要查看您的审计日志(通常是 /var/log/audit/audit.log)

相关内容