说我有http://www.foo.bar
我让我的注册会员拥有自己的子域名,例如http://fred.foo.bar
那里有什么潜在危险?
假设每个用户都可以通过 FTP 将文件上传和下载到他们的子域文档根目录。
假设他们有能力上传 PHP 和 javascript 文件,有没有办法将这些脚本锁定到他们的子域?其他成员会处于危险之中吗?服务器会处于危险之中吗?
答案1
是的,如果您允许人们运行随机的 PHP 脚本或其他 CGI 脚本/可执行文件,他们就可以使用这些脚本在您的服务器上执行各种操作。假设有一台 Linux 服务器,您应该做的第一件事是确保每个用户的目录仅供其所有者和 Web 服务器组访问,然后确保 Web 服务器配置为通过 suphp/suexec 之类的方式运行所有 PHP 脚本和其他 CGI,以便它们以拥有它们的用户身份执行,而不是以 Web 服务器的权限执行。否则,如果用户的文件是全世界可读的,那么任何 PHP 脚本也可以读取它们。如果 PHP 脚本作为 Web 服务器运行,那么 PHP 脚本可以读取或写入 Web 服务器可以读取或写入的任何文件,其中可能包括其他人的脚本。
保护用户免受彼此侵害只是第一步。保护服务器免受用户侵害是下一步,这需要做更多的工作和持续的警惕。为此,设置配额(以防止用户填满驱动器)和审核用户不应访问的内容的权限只是开始。
答案2
简单地说:您的域名可能会被 FBI 查封,因为有些人在他的网站上放置了一些非法内容。
发生了。几周前。FBI 查获了儿童色情案并查封了域名……我认为其中一个域名由提供商拥有(子域名中有儿童色情内容),并且拥有大约 70,000 个子域名,这些子域名全部“变暗”(显示已查封的评论)。花了 2-3 天时间才修复此问题。
答案3
总是存在有人利用错误或获得特权访问的风险,尤其是使用 FTP 等明文传输协议时。危险主要在于您授予用户的权限以及您如何对每个用户进行沙盒处理。
全面的安全检查表不一定适用,因为我们不知道您首先是如何实现这一点的;服务器操作系统、内容服务器、您如何限制它们,等等。
安全是一个过程,而不是一份清单。
我唯一能告诉你的是,假设所有用户都是恶意的,尽可能地将他们置于沙盒中,检查子目录的权限以授予必要的最小权限,并确保你有良好的备份和文件检查器,可以进行校验以检查是否存在恶意活动,以及良好的更新程序以保持应用最新的补丁。除此之外,你的问题没有太多细节,而且这个问题太广泛了,这个话题可以写一本书……
答案4
由于这尚未提及...
有些人可能能够说服 CA 为父域(而不仅仅是他们自己的子域)颁发 SSL 证书。