lnmp下php安全配置详解(禁用不安全php函数与php上传分离等)
|
本文介绍了lnmp架构下php安全配置的方法,包括禁用不安全PHP函数、关闭php错误日志、php上传分离、关闭php信息、禁止动态加载链接库、禁用打开远程url等安全措施。
php安全配置的几个方面: 1、使用open_basedir限制虚拟主机跨目录访问 [HOST=www.xingzuo51.com] open_basedir=/data/site/www.xingzuo51.com/:/tmp/ [HOST=test.xingzuo51.com] open_basedir=/data/site/test.xingzuo51.com/:/tmp/说明: www.xingzuo51.com下的php程序被限制在open_basedir配置的两个目录下, 不可以访问到其他目录。 如果没有做以上的配置,那么test.xingzuo51.com与www.xingzuo51.com的程序可以互相访问。 如果其中一个站点有漏洞被黑客植入了webshell,可以通过这个站点拿下同一台服务器的其他站点,最后挂木马。 注意: 目录最后一定要加上/。 比如写/tmp,站点同时存在/tmp123等等以/tmp开头的目录,那么黑客也可以访问到这些目录,另外, php5.3以上支持这个写法,5.2不支持。 2、禁用不安全PHP函数 disable_functions = show_source,system,shell_exec,passthru,exec,popen,proc_open,proc_get_status,phpinfo 禁止php执行以上php函数,以上php程序可以执行linux命令, 比如可以执行ping、netstat、mysql等等.如果你的系统有提权bug,后果你懂得. 3、关注软件安全资讯 积极关注linux内核、php安全等信息并及时采取错误 4、php用户只读 这 个方法是我最推崇的方法,但是执行之前一定要和php工程师商量. 为什么?例如站点www.xingzuo51.com根目录用户与组为nobody,而运行php的用户和组为phpuser。目录权限为755,文件权限为 644. 如此,php为只读,无法写入任何文件到站点目录下。也就是说用户不能上传文件,即使有漏洞, 黑客也传不了后门, 更不可能挂木马. 这么干之前告知程序员将文件缓存改为nosql内存缓存(例如memcached、redis等),上传的文件通过接口传到其他服务 器(静态服务器)。 备注:程序生成本地缓存是个非常糟糕的习惯,使用文件缓存速度缓慢、浪费磁盘空间、最重要一点是一般情况下服务器无法横向扩展 5、关闭php错误日志 display_errors = On 改为 display_errors = Off程序一旦出现错误,详细错误信息便立刻展示到用户眼前,其中包含路径、有的甚至是数据库账号密码. 注入渗透密码基本上都是通过这个报错来猜取。生产环境上强烈关闭它 6、php上传分离 将文件上传到远程服务器,例如nfs等。当然也可以调用你们写好的php接口. 即使有上传漏洞,那么文件也被传到了静态服务器上。木马等文件根本无法执行. 例子: php站点www.xingzuo51.com,目录/data/site/www.xingzuo51.com 静态文件站点static.xingzuo51.com,目录/data/site/static.xingzuo51.com 文件直接被传到了/data/site/static.xingzuo51.com,上传的文件无法通过www.xingzuo51.com来访问,只能使用static.xingzuo51.com访问,但是static.xingzuo51.com不支持php. 7、关闭php信息 expose_php = On 改为 expose_php = Off不轻易透露自己php版本信息,防止黑客针对这个版本的php发动攻击. 8、禁止动态加载链接库 disable_dl = On; 改为 enable_dl = Off;9、禁用打开远程url allow_url_fopen = On 改为 allow_url_fopen = Off其实这点算不上真正的安全,并不会导致web被入侵等问题,但是这个非常影响性能, 笔者认为它属于狭义的安全问题. 以下方法将无法获取远程url内容 $data = file_get_contents("http://www.baidu.com/");获取本地文件内容: $data = file_get_contents("1.txt");如果站点访问量不大、数据库也运行良好,但是web服务器负载出奇的高,请直接检查下是否有这个方法。 php获取远程web的内容,建议使用curl。 |
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
AI Hentai Generator
免费生成ai无尽的。
热门文章
热工具
记事本++7.3.1
好用且免费的代码编辑器
SublimeText3汉化版
中文版,非常好用
禅工作室 13.0.1
功能强大的PHP集成开发环境
Dreamweaver CS6
视觉化网页开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
热门话题
PHP记录:PHP日志分析的最佳实践
Mar 10, 2025 pm 02:32 PM
PHP日志记录对于监视和调试Web应用程序以及捕获关键事件,错误和运行时行为至关重要。它为系统性能提供了宝贵的见解,有助于识别问题并支持更快的故障排除
在Laravel中使用Flash会话数据
Mar 12, 2025 pm 05:08 PM
Laravel使用其直观的闪存方法简化了处理临时会话数据。这非常适合在您的应用程序中显示简短的消息,警报或通知。 默认情况下,数据仅针对后续请求: $请求 -
php中的卷曲:如何在REST API中使用PHP卷曲扩展
Mar 14, 2025 am 11:42 AM
PHP客户端URL(curl)扩展是开发人员的强大工具,可以与远程服务器和REST API无缝交互。通过利用Libcurl(备受尊敬的多协议文件传输库),PHP curl促进了有效的执行
简化的HTTP响应在Laravel测试中模拟了
Mar 12, 2025 pm 05:09 PM
Laravel 提供简洁的 HTTP 响应模拟语法,简化了 HTTP 交互测试。这种方法显着减少了代码冗余,同时使您的测试模拟更直观。 基本实现提供了多种响应类型快捷方式: use Illuminate\Support\Facades\Http; Http::fake([ 'google.com' => 'Hello World', 'github.com' => ['foo' => 'bar'], 'forge.laravel.com' =>
在Codecanyon上的12个最佳PHP聊天脚本
Mar 13, 2025 pm 12:08 PM
您是否想为客户最紧迫的问题提供实时的即时解决方案? 实时聊天使您可以与客户进行实时对话,并立即解决他们的问题。它允许您为您的自定义提供更快的服务
解释PHP中晚期静态结合的概念。
Mar 21, 2025 pm 01:33 PM
文章讨论了PHP 5.3中引入的PHP中的晚期静态结合(LSB),从而允许静态方法的运行时分辨率调用以获得更灵活的继承。 LSB的实用应用和潜在的触摸
