抱歉,对于这个新手问题,我对 Plesk 一无所知,只有有限的 Debian(没有 Plesk)经验。如果这个问题太愚蠢,请告诉我如何问一个更聪明的问题,或者我应该先阅读哪些信息来改进这个问题,我将不胜感激。
我想在我的网站上提供一个程序供下载,我的网站托管在 Ubuntu 8.04.4 VPS 上,使用 Plesk 9.3.0 进行网络托管。我已限制仅通过密钥对服务器进行 ssh 访问。
在使用 Plesk 设置网络托管时,它创建了一个 FTP 登录和用户,这是否存在可以绕过仅限密钥访问的潜在安全风险?
我认为 Plesk 本身(即使没有 ftp 用户帐户)通过其 Web 界面可能会存在风险,这是正确的吗,还是我的担心被夸大了?
如果我仅在接下来的两周内使用该解决方案,然后将服务器更改为我更了解安全性的系统,您会说这个解决方案有所不同吗? 3.换句话说,新网站上线并运行后的前两周内遭受黑客攻击的可能性是否比第 14 和 15 周更小?
(可能是因为一开始的搜索结果较少,或者出于其他原因......)
答案1
您在服务器上运行的任何代码都可能存在漏洞,这些漏洞可能已被发现,也可能尚未发现。通过运行具有众所周知的足迹 (:8443) 的知名服务,当漏洞暴露时,您可以更轻松地扫描。
话虽如此,请注意这些答案来自在 CentOS/RHEL 而不是 Debian/Ubuntu 上使用 Plesk 9 的经验,
这不太可能给您带来问题。Plesk 使用默认 shell /bin/false 创建 FTP 用户,不允许 shell 登录。
Plesk 似乎相当不错。我本人从未见过通过 Plesk 入侵的服务器,而且它们会定期更新。关闭防火墙 :8443 以仅允许您访问,这样就没问题了。
是的。在前两周,您的网站只是解析 DNS 并尝试爬取到 Google。除了自动爬虫之外,没有人会将您的网站作为目标。但请记住,如果您是新手,Plesk 可能会比您更好地设置权限等。
大多数网站被入侵是因为权限允许任何人/apache 写入 Web 目录。如果您授予 apache w 目录权限,被入侵的代码可以在其中创建新的 PHP 文件,然后只需转到浏览器即可执行它们。Plesk 的目录默认用户/组/权限为 ftpuser/ftpgroup/rwxr-xr-x,不要将它们更改为 777 或 apache:apache,这样就没问题了。祝你好运。