当我在 Webmin 的文件管理器中时,我可以双击并在 Firefox 的新选项卡中查看文件的代码及其特定的 URL。
但是当我删除?rand=xxxx...并将file.phpURL 粘贴到 Chrome 浏览器中时,我仍然可以看到代码。
这是我刚刚在 Chrome 浏览器中粘贴的 URL
http://xxx.xxx.xxx.xxx:10000/file/show.cgi/var/www/html/mysite.com/files/file.php
然后我退出 webmin 并使用file.php其他文件进行更改,我可以看到代码。
Webmin 安全吗?如何确保其安全?
答案1
?rand= 是一个缓存破坏器。它是附加到 URL 的随机字符串,用于确保您收到的页面不会被缓存。您的会话/登录信息通过 cookie 保存在浏览器中,不受 ?rand= 值的影响。
当您删除 ?rand= 部分时,您只是从请求中删除了缓存中断功能,但大多数浏览器不会缓存此功能。我相信 IE 6 开箱即用地缓存响应有点过于激进,这就是他们引入该修复的原因。
答案2
您的 webmin 很好。我确信这全都与 webmin 使用的数据库中存储的会话信息有关。
您的服务器的安全性取决于您如何确保。虽然 webmin 可以减轻您的系统安全负担,但“从长远来看”并时不时检查日志仍然是明智之举。
此处 webmin 的关键字是“web”,这意味着信息既以 cookie 的形式存储在您的浏览器中,也以会话数据的形式存储在您的服务器上。此外,如果您对 webmin 使用 SSL(我认为您应该这样做),那么您的所有数据都会以加密位数进行加密,无论您的 SSL 证书加密了多少位。
答案3
Webmin 是一个用于管理服务器的工具。您应该只允许服务器管理员访问它。可以将其视为 FTP/SSH 访问 - 它允许人们访问您的服务器并更改其中包含的文件。
Webmin 中的文件管理器提供与 FTP 访问相同的功能。就像您使用 FTP 查看文件的 PHP 代码一样,您也可以使用 Webmin 查看它们。这有道理吗?
答案4
您可以从此处的方程式中删除存储的会话的一种方法是尝试从之前未登录过 Webmin 的计算机直接导航到该 URL。如果您仍然可以访问该文件,那么您可能遇到了问题。