我目前正在托管 Drupal CentOS 机器上的 6 个站点。 Drupal ( CMS ) 配置包含几十个不应该是 forked 的第三方模块作为一般的最佳编码实践。但是,其中一些模块使用了 php exec命令才能正常运行。
该站点允许管理员通过 UI 配置在任何页面中嵌入 php 代码片段,前提是他们有权访问 php 代码输入格式。我需要让管理员可以使用这种输入格式,因为有几个节点(页面)和面板 Pane 使用小的、无害的 php 代码片段,例如将特定表单嵌入到内容区域。
问题是,如果有人要破坏管理员帐户,那么他们可以在站点上运行任意 php 代码,从而通过 php 的 exec 运行 shell 命令,passthru等等。有没有什么办法,从操作系统层面,来限制 php 可以传递给机器的 shell 命令?这可以通过限制某些 php 程序的文件权限来完成吗?
注意:我无法使用 php.ini disable_functions指令,因为我仍然需要 exec 在许多情况下正常运行,例如,模块使用某些 shell 命令,例如视频编码。
最佳答案
如果您的管理员帐户遭到黑客攻击,您就完蛋了。你正试图减少厄运,但这行不通。
这只是能够调用系统的所有函数的一小部分。还有很多,比如 passthru()、shell_exec()、popen()、proc_open()、反引号运算符,等等。不会有帮助。
仅当攻击者无法带来他自己的可执行文件时才有效。但是 file_put_contents() 可以将可执行文件写入硬盘,然后就可以调用了。也无济于事。
错了。通过 exec() 在服务器上执行内容似乎是最好的主意,但 PHP 本身的功能强大到足以对您的服务器以及连接到它的任何东西造成严重破坏。
我认为唯一真正的解决办法是:
如果他们被黑客入侵,能够立即知道。能够将攻击追溯到管理员。能够知道攻击者究竟对您的机器做了什么,以便您可以撤消它。一个非常重要的部分是你实现了一个审计跟踪记录器,将它的数据保存在不同的机器上。
而且您可能会首先对谁可以作为管理员登录实现更严格的限制。例如,如果您确定某个管理员总是使用其本地 ISP 的 IP 范围工作,则可能没有必要允许整个世界的 IP 范围登录。至少,如果这不是预期的(并且除非您在中国经营 :-)),请按铃并通知其他人正在从中国登录。
并且有两个因素的身份验证。您可以将带有附加登录代码的短信发送到电话号码。或者,您可以通过实现 Google 或 Facebook 身份验证来完全外包登录。这些参与者已经拥有支持这一点的基础设施。
此外,您对内部工作的抵抗力更强。人们对个人社交网络登录的重视程度确实高于雇主的登录。获取某人的 facebook 密码平均需要花费 30 美元,但公司登录名已被共享为 8 美元。去图...
关于php - 是否可以在操作系统级别限制 php 可以通过 exec 传递的命令?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15584335/
我有一个Ruby程序,它使用rubyzip压缩XML文件的目录树。gem。我的问题是文件开始变得很重,我想提高压缩级别,因为压缩时间不是问题。我在rubyzipdocumentation中找不到一种为创建的ZIP文件指定压缩级别的方法。有人知道如何更改此设置吗?是否有另一个允许指定压缩级别的Ruby库? 最佳答案 这是我通过查看rubyzip内部创建的代码。level=Zlib::BEST_COMPRESSIONZip::ZipOutputStream.open(zip_file)do|zip|Dir.glob("**/*")d
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
使用带有Rails插件的vim,您可以创建一个迁移文件,然后一次性打开该文件吗?textmate也可以这样吗? 最佳答案 你可以使用rails.vim然后做类似的事情::Rgeneratemigratonadd_foo_to_bar插件将打开迁移生成的文件,这正是您想要的。我不能代表textmate。 关于ruby-使用VimRails,您可以创建一个新的迁移文件并一次性打开它吗?,我们在StackOverflow上找到一个类似的问题: https://sta
查看Ruby的CSV库的文档,我非常确定这是可能且简单的。我只需要使用Ruby删除CSV文件的前三列,但我没有成功运行它。 最佳答案 csv_table=CSV.read(file_path_in,:headers=>true)csv_table.delete("header_name")csv_table.to_csv#=>ThenewCSVinstringformat检查CSV::Table文档:http://ruby-doc.org/stdlib-1.9.2/libdoc/csv/rdoc/CSV/Table.html
这个问题在这里已经有了答案:Checktoseeifanarrayisalreadysorted?(8个答案)关闭9年前。我只是想知道是否有办法检查数组是否在增加?这是我的解决方案,但我正在寻找更漂亮的方法:n=-1@arr.flatten.each{|e|returnfalseife
我发现ActiveRecord::Base.transaction在复杂方法中非常有效。我想知道是否可以在如下事务中从AWSS3上传/删除文件:S3Object.transactiondo#writeintofiles#raiseanexceptionend引发异常后,每个操作都应在S3上回滚。S3Object这可能吗?? 最佳答案 虽然S3API具有批量删除功能,但它不支持事务,因为每个删除操作都可以独立于其他操作成功/失败。该API不提供任何批量上传功能(通过PUT或POST),因此每个上传操作都是通过一个独立的API调用完成的
我有一个包含多个键的散列和一个字符串,该字符串不包含散列中的任何键或包含一个键。h={"k1"=>"v1","k2"=>"v2","k3"=>"v3"}s="thisisanexamplestringthatmightoccurwithakeysomewhereinthestringk1(withspecialcharacterslike(^&*$#@!^&&*))"检查s是否包含h中的任何键的最佳方法是什么,如果包含,则返回它包含的键的值?例如,对于上面的h和s的例子,输出应该是v1。编辑:只有字符串是用户定义的。哈希将始终相同。 最佳答案
我需要检查DateTime是否采用有效的ISO8601格式。喜欢:#iso8601?我检查了ruby是否有特定方法,但没有找到。目前我正在使用date.iso8601==date来检查这个。有什么好的方法吗?编辑解释我的环境,并改变问题的范围。因此,我的项目将使用jsapiFullCalendar,这就是我需要iso8601字符串格式的原因。我想知道更好或正确的方法是什么,以正确的格式将日期保存在数据库中,或者让ActiveRecord完成它们的工作并在我需要时间信息时对其进行操作。 最佳答案 我不太明白你的问题。我假设您想检查
我的日期格式如下:"%d-%m-%Y"(例如,今天的日期为07-09-2015),我想看看是不是在过去的七天内。谁能推荐一种方法? 最佳答案 你可以这样做:require"date"Date.today-7 关于ruby-检查日期是否在过去7天内,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/32438063/
