如何限制软件访问文件范围，阻止越权访问

常用的服务器软件几乎都存在安全漏洞（如：MySQL、Apache、Serv-U、SQL Server、Nginx、Tomcat等等）。并且这些软件基本都以最高管理员权限运行，一旦暴出漏洞，具有非常高的危险性，不法分子可以窃取数据或植入恶意文件。

 

那如何解决这个问题呢？

要解决这些软件的安全问题，更新软件版本到最新是必要的。但仅更新版本还不够，因为先有漏洞后有补丁，也就是这个方法具有滞后性。我们还应该限制这些软件文件访问权限，只允许其访问最小范围的文件，尤其不能访问cmd.exe、net.exe等高危文件。

要限制软件访问文件范围的功能，必须使用第三方安全软件实现，而且此类安全软件非常非常少（主要功能太小众了，使用传统的防篡改功能无法满足需求）。幸运的是，你可以使用《护卫神.防入侵系统》的“进程防护”模块来实现，其可以限制软件的网络通信行为和文件访问行为（如下图一）。

1 2 3

温馨提示：本文以Windows系统为示例， 护卫神.防入侵系统同时支持Linux系统

（图一：软件进程防护）

 

如下图二所示，设置Nginx除了执行PHP、自身以及系统必须文件外，对所有文件都“禁止执行”，可有效阻止黑客提权入侵。

 

（图二：限制Nginx禁止执行服务器文件，阻止提权入侵）

 

 

你还可以在此规则上进一步优化，例如限制只对网站目录和自身目录才有写权限（如下图三），将文件访问范围进一步缩小。

（图三：添加文件访问范围）

 

设置起来是不是非常简单，但安全性提升却非常高，即使软件爆出各种新漏洞，也不担心破坏服务器了。如果你也有此需要，赶紧部署《护卫神.防入侵系统》吧！

 原文：https://www.hws.com/help/tech/1841.html