(八)限定某个目录禁止解析php、限制user_agent和PHP相关配置

时间  2019-11-06
标签 限定 某个 目录 禁止 解析 php 限制 user agent 相关 配置 栏目 PHP 繁體版
原文   原文链接

限定某个目录禁止解析php

  • 对于使用php语言编写的网站,有一些目录是有需求上传文件的。若是网站代码有漏洞,让黑客上传了一个用PHP写的木马,因为网站能够执行PHP程序,最终会让黑客拿到服务器权限。
    为了不这种状况发生,咱们须要把能上传文件的目录直接禁止解析PHP代码
    1.编辑虚拟主机配置
#进入虚拟主机配置文件
[root@centos001 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
#增长下列配置
<Directory /data/wwroot/111.com/upload> //把upload目录下全部的php禁止解析
        php_admin_flag engine off //表示禁止解析php
## 增长下面的(两个F之间的)后,全部访问php都会是403
   <FilesMatch (.*)\.php(.*)> 
      Order allow,deny                
       Deny from all
    </FilesMatch>   
</Directory>

2.检查读写并重启服务php

[root@centos001 111.com]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@centos001 111.com]# /usr/local/apache2.4/bin/apachectl graceful

3.建立须要禁止解析php的目录,并把1个php文件放在目录下html

[root@centos001 ~]# cd /data/wwroot/111.com/
[root@centos001 111.com]# ls
123.php  admin  qq.png  u=3062734635,4183904616&fm=96.jpg
[root@centos001 111.com]# mkdir upload/
[root@centos001 111.com]# ls
123.php  admin  qq.png  u=3062734635,4183904616&fm=96.jpg  upload
#在目录下建立一个php文件
[root@centos001 111.com]# cp 123.php  upload/

4.访问这个文件,这里显示了403。当咱们访问另外一个目录的php文件的时候,显示能直接访问,因此这个限制解析php是指定了目录的,不影响咱们其它目录。linux

[root@centos001 111.com]# curl -x192.168.10.120:80 '111.com/upload/123.php' -I
HTTP/1.1 403 Forbidden
Date: Mon, 08 Jan 2018 16:26:54 GMT
Server: Apache/2.4.29 (Unix) PHP/7.1.6
Content-Type: text/html; charset=iso-8859-1
#当咱们访问其余目录的php文件
[root@centos001 111.com]# curl -x192.168.10.120:80 '111.com/123.php'
123.com[root@centos001 111.com]#

5.注释掉后面加的代码的时候会出现什么情况呢,开始说到禁止解析php只须要最前面的就能够了。shell

#进入虚拟主机配置文件并注释掉
    <FilesMatch (.*)\.php(.*)> 
       Order allow,deny                
       Deny from all
    </FilesMatch>   
#检查读写并重启服务
#再次访问目录下的php文件
[root@centos001 111.com]# curl -x192.168.10.120:80 '111.com/upload/123.php'
<?php
echo "123.com";

6.这里能看到直接显示源代码了,看起来不太美观apache

限制user_agent

  • **什么是user_agent?**答:能够理解为浏览器标识
  • 了解cc攻击 CC是指攻击者借助代理服务器生成指向受害主机的合法请求,实现DOS和假装。CC攻击主要针对WEB应用程序比较消耗资源的地方进行疯狂请求,好比,论坛中的搜索功能,若是不加以限制,任由人搜索,普通配置的服务器在几百个并发请求下,MYSQL服务就会瘫痪
  • 为什么要限制 user_agent? 答:防止网站被cc攻击。这种攻击有很明显的规律,这些恶意请求的user_agent相同或类似,咱们就能经过限制user_agent发挥防攻击做用

1.修改虚拟主机配置文件。本例意为当user_agent匹配到curl或者baidu.com时,都会触发规则显Forbiddenvim

<IfModule mod_rewrite.c> //此处加载了一个模块
        RewriteEngine on 
#NC表示忽略大小写,OR表示或者,F至关于Forbidden
        RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]//
        RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.* [NC]
        RewriteRule  .*  -  [F]
</IfModule>

2.检查读写并重启服务。:要是没有加载模块还要去主配置文件里面加载哦centos

root@centos001 111.com]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@centos001 111.com]# /usr/local/apache2.4/bin/apachectl graceful

3.访问。由于有curl触发了规则因此输出403浏览器

[root@centos001 111.com]# curl -x192.168.10.120:80 'http://111.com/123.php'
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /123.php
on this server.<br />
</p>
</body></html>

4.curl -A "123123" 指定user_agent安全

[root@centos001 111.com]# curl -A "123123" 192.168.10.120:80 '111.com/123.php'
abc.com

PHP相关配置

  • 查看php配置文件的位置
    • 第一种经过浏览器,访问phpinfo找到配置文件的路径(最准确)
    • 第二种/usr/local/php/bin/php -i|grep -i "loaded configuration file" ;可是有些状况“php -i ”是不许的,由于Apache他是调用了php 的一模块,并且“php -i” 只是php 的一个程序,它和libphp5.so可能有关系也可能没有关系;
[root@centos001 ~]# cd /data/wwroot/111.com/
[root@centos001 111.com]# ls
123.php  index.php
[root@centos001 111.com]# vi index.php 
[root@centos001 111.com]# cat index.php 
<?php
phpinfo();

浏览器访问111.com/index.php

  • 有时候浏览器能看到配置文件的路径可是没有加载。因此咱们就要去拷贝一个配置文件
cp php.ini-development /usr/local/php/etc/php.ini
#刷新浏览器不成功,能够再重启下服务
  • 这个就是咱们的配置文件了/usr/local/php7/etc/php.ini

修改php配置文件

  • 1.disable_functions 安全函数,如下函数会直接调去linux系统命令,开放将会很危险,所以要禁掉。
#打开配置文件
vim /usr/local/php7/etc/php.ini
#搜索 disable_functions
#修改为以下
disable_functions=eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close
#重启服务
  • 示例1:禁用phpinfo。 在安全函数后面添加phpinfo,重启生效后用浏览器访问。由于不由止的话,在网页上就会显示不少咱们的目录信息。

输入图片说明 2. date.timezone 定义时区。
不定义的话有时会出现一些警告信息服务器

#进入配置文件
[root@centos001 111.com]# vim /usr/local/php7/etc/php.ini
#搜索date.timezone
#修改成date.timezone = Asia/Shanghai
#搜索display
修改成display_errors = Off

3.配置error_log

刚才咱们禁用phpinfo的时候,浏览器输出了一段错误信息。这个就是php开启了错误日志的输出功能,可是开启以后呢,咱们的有些东西就会泄露出去。因此下面咱们将介绍怎么设置错误日志的路径、级别和类型等

#进入配置文件
1.开启error_log
#搜索 log_errors 
修改成log_errors = Off

2.定义错误日志的文件路径
#搜索error_log
修改成error_log = /tmp/php_errors.log

3.定义错误日志的级别,这里咱们选择的是最不严谨的。E_NOTICE为生产环境中所选的
#搜索error_reporting
修改成error_reporting = E_ALL
#保存退出后,检查读写并重启服务。查看路径有没有生成,访问下或者刷新一下网页
[root@centos001 111.com]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@centos001 111.com]# /usr/local/apache2.4/bin/apachectl graceful
[root@centos001 111.com]# cd /tmp 
[root@centos001 tmp]# ls
php_errors.log //生成的文件

查看php_errors.log文件,会看到属主属组是daemon

[root@centos001 tmp]# ls -l /tmp/php_errors.log 
-rw-r--r--. 1 daemon daemon 432 1月   9 04:53 /tmp/php_errors.log

daemon其实是httpd的属主,php_errors.log日志文件是以httpd这个进程的身份去生成的

[root@centos001 tmp]# ps aux |grep httpd
root      2323  0.0  1.4 267872 14384 ?        Ss   1月08   0:15 /usr/local/apache2.4/bin/httpd -k start
daemon   24263  0.0  0.8 554700  8644 ?        Sl   04:46   0:00 /usr/local/apache2.4/bin/httpd -k start
daemon   24264  0.0  0.8 554700  8644 ?        Sl   04:46   0:00 /usr/local/apache2.4/bin/httpd -k start
daemon   24267  0.0  1.1 687884 11172 ?        Sl   04:46   0:00 /usr/local/apache2.4/bin/httpd -k start
root     24363  0.0  0.0 112676   984 pts/1    R+   04:55   0:00 grep --color=auto httpd
  • 有时候,定义了一个错误日志,可是这个错误日志始终没有生成,那么就须要检查一下定义错误日志所在的目录,到底httpd有没有写权限
  • 最保险的办法,就是在所在目录建立一个错误日志的文件,而后赋予它777的权限,这样就不须要担忧这个文件httpd是否有写权限了
[root@centos001 tmp]# grep error_log /usr/local/php/etc/php.ini
; server-specific log, STDERR, or a location specified by the error_log
; Set maximum length of log_errors. In error_log information about the source is
;error_log = php_errors.log
;error_log = syslog
; OPcache error_log file name. Empty string assumes "stderr".
;opcache.error_log=
[root@centos001 tmp]# touch /tmp/php_errors.log ; chmod /tmp/php_errors.log
  • 查看错误日志文件
[root@centos001 tmp]# cat /tmp/php_errors.log
[09-Jan-2018 04:43:15 Asia/Shanghai] PHP Warning:  phpinfo() has been disabled for security reasons in /data/wwroot/111.com/index.php on line 2

open_basedir = /data/wwroot/111.com:/tmp

open_basedir安全相关项

一台服务器上有多个网站运行,这样作的弊端是若是其中一个被黑。其它的也有可能被连累

  • open_basedir就恰好能解决这个问题,它的做用是将网站限定在指定目录里,就算被黑也波及不到其余目录
  • php.ini文件中的内容是针对全部虚拟主机进行的配置 1.修改配置文件
[root@centos001 tmp]# vim /usr/local/php7/etc/php.ini
#搜索open_basedir
修改成open_basedir = /data/wwroot/111.com:/tmp

2.检查读写并重启服务
3.正常访问的话,直接就能访问
4.如果服务器上跑了N多个站点,那应该怎么去作限制呢?
应该针对站点,这些网站去作open_basedir ,但php.ini是作不到的,由于php.ini是针对全部站点的 但咱们能够在虚拟主机配置文件中设置,在apache虚拟主机配置文件中去设置/usr/local/apache2.4/conf/extra/httpd-vhosts.conf

[root@centos001 tmp]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
#增长 保存并退出
php_admin_value open_basedir "/data/wwroot/111.com:/tmp/"

扩展

apache开启压缩 http://ask.apelearn.com/question/5528
apache2.2到2.4配置文件变动 http://ask.apelearn.com/question/7292
apache options参数 http://ask.apelearn.com/question/1051
apache禁止trace或track防止xss http://ask.apelearn.com/question/1045
apache 配置https 支持ssl http://ask.apelearn.com/question/1029

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程