php安全配置分享

时间 2019-11-13

标签 php 安全配置分享栏目 PHP 繁體版

原文原文链接

以往的lamp网站向着lnmp发展, 笔者工做环境使用lnmp多年, 在这里很高兴和你们分享一下多年的lnmp网站的php安全配置，至于lamp安全后续与你们分享，其实内容上八成相同，这边着重讲php安全配置，看内容.php

1. 使用open_basedir限制虚拟主机跨目录访问

 
        [HOST=www.ttlsa.com] 
       
        open_basedir=/data/site/www.ttlsa.com/:/tmp/ 
       
        [HOST=test.ttlsa.com] 
       
        open_basedir=/data/site/test.ttlsa.com/:/tmp/

如上配置的意思是www.ttlsa.com下的php程序被限制在open_basedir配置的两个目录下, 不能够访问到其余目录。若是没有作以上的配置，那么test.ttlsa.com与www.ttlsa.com的程序能够互相访问. 若是其中一个站点有漏洞被黑客植入了webshell，那么他能够经过这个站点拿下同一台服务器的其余站点，最后挂木马. [warning]注意：目录最后必定要加上/. 好比你写/tmp，你的站点同时存在/tmp123等等以/tmp开头的目录，那么黑客也能够访问到这些目录，另外, php5.3以上支持这个写法，5.2不支持。[/warning]html

2. 禁用不安全PHP函数

disable_functions = show_source,system,shell_exec,passthru, exec ,popen,proc_open,proc_get_status,phpinfo

禁止php执行以上php函数,以上php程序能够执行linux命令, 好比能够执行ping、netstat、mysql等等.若是你的系统有提权bug,后果你懂得.mysql

3. 关注软件安全资讯

积极关注linux内核、php安全等信息并及时采起错误linux

4. php用户只读

这个方法是我最推崇的方法，可是执行以前必定要和php工程师商量. 为何？例如站点www.ttlsa.com根目录用户与组为nobody，而运行php的用户和组为phpuser。目录权限为755，文件权限为 644. 如此，php为只读，没法写入任何文件到站点目录下。也就是说用户不能上传文件，即便有漏洞, 黑客也传不了后门, 更不可能挂木马. 这么干以前告知程序员将文件缓存改成nosql内存缓存（例如memcached、redis等），上传的文件经过接口传到其余服务器（静态服务器）。 [warning]备注：程序生成本地缓存是个很是糟糕的习惯，使用文件缓存速度缓慢、浪费磁盘空间、最重要一点是通常状况下服务器没法横向扩展. [/warning]程序员

5. 关闭php错误日志

 
        display_errors = On 
       
        改成 
       
        display_errors = Off

程序一旦出现错误，详细错误信息便马上展现到用户眼前，其中包含路径、有的甚至是数据库帐号密码. 注入渗透密码基本上都是经过这个报错来猜取。生产环境上强烈关闭它web

6. php上传分离

将文件上传到远程服务器，例如nfs等。固然也能够调用大家写好的php接口. 即便有上传漏洞，那么文件也被传到了静态服务器上。木马等文件根本没法执行. 举个例子： php站点www.ttlsa.com，目录/data/site/www.ttlsa.com 静态文件站点static.ttlsa.com，目录/data/site/static.ttlsa.com 文件直接被传到了/data/site/static.ttlsa.com，上传的文件没法经过www.ttlsa.com来访问，只能使用 static.ttlsa.com访问，可是static.ttlsa.com不支持php.redis

7. 关闭php信息

 
        expose_php = On 
       
        改成 
       
        expose_php = Off

不轻易透露本身php版本信息，防止黑客针对这个版本的php发动攻击.sql

8. 禁止动态加载连接库

 
        disable_dl = On; 
       
        改成 
       
        enable_dl = Off;

9. 禁用打开远程url

 
        allow_url_fopen = On 
       
        改成 
       
        allow_url_fopen = Off

其实这点算不上真正的安全, 并不会致使web被入侵等问题,可是这个很是影响性能, 笔者认为它属于狭义的安全问题. 如下方法将没法获取远程url内容shell

$data = file_get_contents( "http://www.baidu.com/" )；

如下方法能够获取本地文件内容数据库

$data = file_get_contents( "1.txt" );

若是你的站点访问量不大、数据库也运行良好，可是web服务器负载出奇的高，请你直接检查下是否有这个方法。笔者遇到过太多这个问题，目前生产环境已全线禁用，若是php工程师须要获取远程web的内容，建议他们使用curl. php curl如何使用请查看我以前的文章《 PHP使用curl替代file_get_contents》，以及 php下curl与file_get_contents性能对比.

10.结束

今天lnmp站点的php安全暂时讲到这里,有问题后续将继续补充. 转载请注明出处:http://www.ttlsa.com/html/2279.html