Apache 모드 설치 중 발생할 수 있는 공격 및 해결 방법

PHP가 Apache 모듈로 설치되면 Apache 사용자(일반적으로 "nobody")의 권한을 상속받습니다. 이는 보안 및 인증에 몇 가지 영향을 미칩니다. 예를 들어, PHP를 사용하여 데이터베이스에 액세스하는 경우 데이터베이스에 자체 액세스 제어가 없으면 "nobody" 사용자가 데이터베이스에 액세스할 수 있어야 합니다. 이는 악성 스크립트가 사용자 이름과 비밀번호를 제공하지 않고도 데이터베이스에 액세스하고 수정할 수 있음을 의미합니다. 웹 스파이더가 데이터베이스 관리 페이지를 우연히 발견하고 모든 데이터베이스를 삭제하는 것은 전적으로 가능합니다. Apache 인증을 통해 이 문제를 방지하거나 LDAP, .htaccess와 같은 기술을 사용하여 고유한 액세스 모델을 설계하고 이러한 코드를 PHP 스크립트의 일부로 사용할 수 있습니다.

일반적으로 보안이 PHP 사용자(여기서는 Apache 사용자)가 최소한의 위험을 견딜 수 있는 수준에 도달하면 PHP는 사용자 디렉터리에 파일을 쓰지 못하게 하거나 액세스 및 수정을 금지하는 지점에 도달할 수 있습니다. . 데이터베이스에 도달했습니다. 이는 정상적인 파일이든 비정상적인 파일이든, 정상적인 데이터베이스 트랜잭션이든 악의적인 요청이든 거부된다는 의미입니다.

보안에 해로운 일반적인 실수는 Apache에 루트 권한을 부여하거나 다른 수단을 통해 Apache에 더 강력한 기능을 제공하는 것입니다.

Apache 사용자의 권한을 루트로 높이는 것은 매우 위험하며 전체 시스템의 보안을 손상시킬 수 있습니다. 따라서 보안 전문가가 아닌 이상 su, chroot 사용 또는 루트 권한으로 실행을 고려하지 마십시오.

또한 몇 가지 더 간단한 솔루션이 있습니다. 예를 들어, open_basedir을 사용하여 PHP에서 사용할 수 있는 디렉터리를 제한할 수 있습니다. 또한 모든 웹 활동을 비사용자 및 비시스템 파일로 제한하도록 Apache 특정 영역을 설정할 수도 있습니다.