bluehost主机可以通过定制.htaccess来禁止浏览目录,以提高网站的安全性和灵活性,在.htaccess中加入下面的命令即可实现:
# 禁止浏览目录 Options -indexes
"Options -indexes"是一个重要的安全性指令,是所有.htaccess文件中必不可少的一项,除非需要指定某一目录的特殊用途才可以省略这一句,例如:提供列出文件索引方式的下载服务。
特别注意:
上面谈到用.htaccess来禁止浏览目录是一个安全措施,但您一定要清楚,所谓的安全是建立在一个前提之下,也就是说服务必须要在正常的前提下.htaccess才会起作用,如果服务器被攻击上面的措施可能没有真正用处,所以说不要在/public_html下存放不必要但很重要的数据,才是抓住了安全问题的本质,比如说您不可以将备份数据存放在/public_html之下,/public_html意味着发布,是公众可以访问,也可以通过大规模猜测尝试下载文件的目录,因此在这里或者是其下的子目录中存放www.zip、website.zip、data.zip、mysql.tar.gzip等类似文件是一种很白痴的行为,不论您设不设Options -indexes结果都是一样不安全的。
这样的话如果我们必须要放这类文件放在哪里哪?答案是放在/public_html的上一级目录,也就是您bluehost帐户的根目录下,或者放在根目录下创建的其它目录中,这里是公众访问不到的,我们却可以使用cPanel的文件管理器、FTP、SFTP类的工具来访问和操作,这样的条件也是合租用户不具备的这个原因和后面将提到的黑客脚本获得提升权限两者说明了合租空间对于网站数据来说非常危险的。
前面我们提到了可以在bluehost帐户的根目录下保存一些不希望被公众访问的文件,那么我们可以在这里放多久哪?答案是尽可能的短时间临时存放,因为这里只是相对安全,任何一个几十Kb的攻击脚本都能夺取权限越级访问到包括这里的所有目录。因此一个重要的原则是:不要在远程存放任何不必须的重要文件,如果必须要放,只能暂时存放要快一些删除,再有要使用无法猜测的、复杂的随机文件名。
2011年末的拖库密码门就是一个警钟,要我们加强安全意识,在轻描淡写的损失不大、影响有限的托辞之下,但愿说者不要自己都被自己说服了麻痹了,有没有影响有多大影响真有话语权的应该是当事的用户,访客是经不起多少折腾的,看上去延绵广大的事物从来都是易散难聚的,辛苦做大的网站还是当心不要一夜间崩溃吧。
摘自:http://www.bluehost-cn.com/bluehost-htaccess-ban-index-directory
没有评论:
发表评论