当前位置:首页 > 科技 > 网络

php加固

PHP应用部署后,开发者或者运维人员应该时刻关注PHP方面的漏洞消息,升级PHP版本,对PHP环境进行安全加固。本文将给大家介绍如何从WEB安全方面让你的网站更坚固更安全。Ziq百姓养生圈

1.启用 PHP 的安全模式Ziq百姓养生圈

PHP 环境提供的安全模式是一个非常重要的内嵌安全机制,PHP 安全模式能有效控制一些 PHP 环境中的函数(例如system()函数),对大部分的文件操作函数进行权限控制,同时不允许对某些关键文件进行修改(例如 /etc/passwd)。但是,默认的 php.ini 配置文件并没有启用安全模式。Ziq百姓养生圈

您可以通过修改 php.ini 配置文件启用 PHP 安全模式:Ziq百姓养生圈

safe_mode = on

2.用户组安全Ziq百姓养生圈

当您启用安全模式后,如果safe_mode_gid选项被关闭,PHP 脚本能够对文件进行访问,且相同用户组的用户也能够对该文件进行访问。Ziq百姓养生圈

因此,建议您将该选项设置为关闭状态:Ziq百姓养生圈

safe_mode_gid = off

注意: 该选项参数仅适用于 Linux 操作系统。Ziq百姓养生圈

如果不进行该设置,您可能无法对服务器网站目录下的文件进行操作。Ziq百姓养生圈

3.安全模式下执行程序主目录Ziq百姓养生圈

如果启用了安全模式后,想要执行某些程序的时候,可以指定需要执行程序的主目录,例如:Ziq百姓养生圈

safe_mode_exec_dir = /usr/bin

一般情况下,如果不需要执行什么程序,建议您不要指定执行系统程序的目录。您可以指定一个目录,然后把需要执行的程序拷贝到这个目录即可,例如:Ziq百姓养生圈

safe_mode_exec_dir = /temp/cmd

但是,更推荐您不要执行任何程序。这种情况下,只需要将执行目录指向网页目录即可:Ziq百姓养生圈

safe_mode_exec_dir = /usr/www

注意:执行目录的路径以您实际操作系统目录路径为准。Ziq百姓养生圈

4.安全模式下包含文件Ziq百姓养生圈

如果您需要在安全模式下包含某些公共文件,您只需要修改以下选项即可:Ziq百姓养生圈

safe_mode_include_dir = /usr/www/include/

一般情况下,PHP 脚本中包含的文件都是在程序已经写好的,可以根据您的具体需要进行设置。Ziq百姓养生圈

5.控制 PHP 脚本能访问的目录Ziq百姓养生圈

使用open_basedir选项能够控制 PHP 脚本只能访问指定的目录,这样能够避免 PHP 脚本访问不应该访问的文件,一定程度下降低了 phpshell 的危害。一般情况下,可以设置为只能访问网站目录:Ziq百姓养生圈

open_basedir = /usr/www

6.关闭危险函数Ziq百姓养生圈

如果您启用了安全模式,那么可以不需要设置函数禁止,但为了安全考虑,还是建议您进行相关设置。例如,您不希望执行包括system()等在内的执行命令的 PHP 函数,以及能够查看 PHP 信息的phpinfo()等函数,那么您可以通过以下设置禁止这些函数:Ziq百姓养生圈

disable_functions = system, passthru, exec, shell_exec, popen, phpinfo, escapeshellarg, escapeshellcmd, proc_close, proc_open, dl

如果您想要禁止对于任何文件和目录的操作,那么您可以关闭以下文件相关操作。Ziq百姓养生圈

disable_functions = chdir, chroot, dir, getcwd, opendir, readdir, scandir, fopen, unlink, delete, copy, mkdir, rmdir, rename, file, file_get_contents, fputs, fwrite, chgrp,chmod, chown

注意: 以上设置中只列举了部分比较常用的文件处理函数,您也可以将上面的执行命令函数和这些文件处理函数相结合,就能给抵制大部分的 phpshell 威胁。Ziq百姓养生圈

7.关闭 PHP 版本信息在 HTTP 头中的泄露Ziq百姓养生圈

为了防止黑客获取服务器中 PHP 版本的信息,您可以禁止该信息在 HTTP 头部内容中泄露:Ziq百姓养生圈

expose_php = off

这样设置之后,黑客在执行telnet <domain> 80尝试连接您的服务器的时候,将无法看到 PHP 的版本信息。Ziq百姓养生圈

8.关闭注册全局变量Ziq百姓养生圈

在 PHP 环境中提交的变量,包括使用 POST 或者 GET 命令提交的变量,都将自动注册为全局变量,能够被直接访问。这对您的服务器是非常不安全的,因此建议您将注册全局变量的选项关闭,禁止将所提交的变量注册为全局变量。Ziq百姓养生圈

register_globals = off

注意: 该选项参数在 PHP 5.3 以后的版本中已被移除。Ziq百姓养生圈

当然,如果这样设置之后,获取对应变量的时候就需要采取合理方式。例如,获取 GET 命令提交的变量 var,就需要使用$_GET['var']命令来进行获取,在进行 PHP 程序设计时需要注意。Ziq百姓养生圈

9.SQL 注入防护Ziq百姓养生圈

SQL 注入是一个非常危险的问题,小则造成网站后台被入侵,重则导致整个服务器沦陷。Ziq百姓养生圈

magic_quotes_gpc选项默认是关闭的。如果打开该选项,PHP 将自动把用户提交对 SQL 查询的请求进行转换(例如,把 ’ 转换为 \’ 等),这对于防止 SQL 注入攻击有很大作用,因此建议您将该选项设置为:Ziq百姓养生圈

magic_quotes_gpc = on

注意: 该选项参数在 PHP 5.4.0 以后的版本中已被移除。Ziq百姓养生圈

所以最好使用PDO预处理方式处理SQL查询。Ziq百姓养生圈

10.错误信息控制Ziq百姓养生圈

一般 PHP 环境在没有连接到数据库或者其他情况下会有错误提示信息,错误信息中可能包含 PHP 脚本当前的路径信息或者查询的 SQL 语句等信息,这类信息如果暴露给黑客是不安全的,因此建议您禁止该错误提示:Ziq百姓养生圈

display_errors = Off

如果您确实要显示错误信息,一定要设置显示错误信息的级别。例如,只显示警告以上的错误信息:Ziq百姓养生圈

error_reporting = E_WARNING & E_ERROR

注意: 强烈建议您关闭错误提示信息。Ziq百姓养生圈

11.错误日志Ziq百姓养生圈

建议您在关闭错误提示信息后,对于错误信息进行记录,便于排查服务器运行异常的原因:Ziq百姓养生圈

log_errors = On

同时,需要设置错误日志存放的目录,建议您将 PHP 错误日志与 Apache 的日志存放在同一目录下:Ziq百姓养生圈

error_log = /usr/local/apache2/logs/php_error.log

注意: 该文件必须设置允许 Apache 用户或用户组具有写的权限。Ziq百姓养生圈

php.ini参数设置

disable_functions

这个配置我们需要修改的文件是php.iniZiq百姓养生圈

禁用了这个函数Ziq百姓养生圈

 Ziq百姓养生圈

没禁用phpinfo这个函数Ziq百姓养生圈

 Ziq百姓养生圈

重启Apache,是刚才的函数生效Ziq百姓养生圈

可以看到以及无法访问了Ziq百姓养生圈

 Ziq百姓养生圈

Php里面有很多函数可以执行系统命令,这样的函数有system,exec,exec_shell(执行系统命令的函数)假设php环境里面有使用这样的函数,就可以直接对操作系统执行命令。比如添加用户,执行操作系统权限等操作。如果这些函数使用上有了问题,安攻击者可以控制函数对命令的操作,这样的话就能达到对操作系统的攻击。Ziq百姓养生圈

刚才我们通过函数禁用的配置,就可以把这些有敏感操作的函数都禁用了,这样的话就能加强我们对php的安全。Ziq百姓养生圈


open_basedir

basedir就是基准目录,能打开的基准目录,我们是可以进行配置的,在没有进行这个配置之前,我们看看有没有作用。我们可以看到,我们已经跳出了web目录,而读到了/etc下的password文件Ziq百姓养生圈

 Ziq百姓养生圈

我们现在来配置一下,配置的原则是,必须要有根目录Ziq百姓养生圈

 Ziq百姓养生圈

重启Apache,我们再来访问Ziq百姓养生圈

发现已经访问不了,它的动作已经被禁止在/var/www和/tmp目录下Ziq百姓养生圈

 Ziq百姓养生圈

safe_mode

安全模式,和我们刚才禁用效果差不多,只是它内置已经禁用了很多函数。safe_mode可以打开为on,但因为它禁用的函数比较多,可能会影响我们程序的正常运行,所以一般情况下不建议打开安全模式。Ziq百姓养生圈

其他配置:Ziq百姓养生圈
1.disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,Ziq百姓养生圈

ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,phpinfo #禁用的函数Ziq百姓养生圈
2.expose_php = off            #避免暴露PHP信息Ziq百姓养生圈
3.display_errors = off        #关闭错误信息提示Ziq百姓养生圈
4.register_globals = off      #关闭全局变量Ziq百姓养生圈
5.enable_dl = off             #不允许调用dlZiq百姓养生圈
6.allow_url_include = off     #避免远程调用文件Ziq百姓养生圈
7.session.cookie_httponly = 1 #http only开启Ziq百姓养生圈
8.upload_tmp_dir = /tmp       #明确定义upload目录Ziq百姓养生圈
9.open_basedir = ./:/tmp:/home/wwwroot/ #限制用户访问的目录Ziq百姓养生圈


  投稿请发ruomao#hotmail.com(#换成@)
  删稿本站部分内容为会员转载,如需删除请发至编辑邮箱处理!
  建议本站是养生门户网,分享的产品大多是食品为主,不能代替药物。有一定的调理作用,但不保证每个人食用后有同样的效果。分享的案例均转自互联网,如您有大病,建议您去看医生!我们理念是当下就要养生!


今天不养生,明天养医生! 养生从当下开始!不论你是30岁,还是60岁...90岁

评论