unix恶意脚本/ksh执行

Question

我想知道我的架构是否构成了安全风险。详细信息：

• 整个网站不是根用户拥有的，但是APACHE用户却拥有一些相当高级的权限。
• 我有一个文件夹"user_files“，可以保存任何类型的用户文件。例如，ksh文件。
• 我的php.ini禁用exec函数(以及其他一些敏感函数)

我的问题很简单，但有两个方面：

1. 有人能执行上传的脚本吗？
2. 风险有多大？如果脚本是由apache执行的--我猜它所能做的最大就是删除服务器上所有apache拥有的文件，对吗？

Answer 1

禁用php的exec函数可能有助于从调用其他脚本(如您描述的ksh脚本)中锁定php脚本。但是，除非您禁用用户能够上传php脚本，否则他们可以从php调用破坏性函数(除非您也禁用了所有这些功能)。

如果您可以禁用apache为users_files目录解释的所有动态脚本，您可能会更安全，但禁用您希望为用户提供的一些功能。

根据您的发行版，以及您想要安装和维护的软件，我可以想到一个选项。

启用Apache的suEXEC特性，使任何非php和其他mod_language脚本都能在另一个用户帐户下运行。通过cgi接口使用php，如果您能够获得php，将使将某些脚本作为单独的用户运行更容易。