Защита Debian от shell.php

[asd1231]

Доброго времени суток!

Есть Папка в нее можно заливать все что угодно, она доступна через http://

Вопрос такой как защиться от shell.php закинутого в попаку доступную через http://, другими словами как не дать просмотреть всю файловую систему!

Мне подсказли что это можно сделать путем запуска apache от обычного пользователя


Заранее спасибо!

[KernelPanic]

Установить запрет на заливку туда php-файлов.
Процессом апача владеет пользователь www-data, что с некоторой натяжкой можно считать "обычным пользователем". Скажу больше, что прав у www-data гораздо меньше чем у обычного пользователя.
Поэтому, если на папку стоят разрешения 755, что является нормой, то любой пользователь может просмотреть ее содержимое, апач - не исключение.

[SLEDopit]

http://wiki.apache.org/httpd/SecuringPHP

[sash-kan]

доступна через http://

для чего используется этот доступ? для скачивания файлов?
тогда отключите в этом каталоге обработку php. если она у вас включена стандарным образом в /etc/apache2/mods-enabled/php5.conf, т.е., через
AddType … .php .phtml .php3
то так и надо выключать:
RemoveType .php .phtml .php3

отключается это либо в соответствующей директиве <Directory>, либо в .htaccess. второй вариант, я так понимаю, по условиям задачи не подходит — раз каталог writable, легко могут .htaccess заменить на свой.

[test157]

и попутный вопрос. что есть для аудита таких файлов в системе? т.е. скажем чтобы раз в сутки сканило файловую систему на наличае таких файлов в ней? не по имени, а по содержимому - что то типа антивируса для залитых шеллов?

[Frank]

Фигасе. У вас там что, бардак полный? Можно залить любой файл и тут же его открыть браузером? Тогда вам поможет только отключение от сети. А ещё лучше из розетки.

[RasenHerz]

По-моему, проще для фаловой помойки тогда поднять ftp сервер.