6月1日任务限定某个目录禁止解析php、限制user_agent 、php相关配置

时间  2019-11-07
标签 6月 1日 任务 限定 某个 目录 禁止 解析 php 限制 user agent 相关 配置 栏目 PHP 繁體版
原文   原文链接

11.28 限定某个目录禁止解析phpphp

<Directory /data/wwwroot/abc.com/admin>
php_admin_flag engine off
<FilesMatch (.*)\.php(.*)>
order allow,deny
Deny from all
</FilesMatch>
</Directory>

禁止php解析操做,其实就是为了服务器更加安全,特别是针对能够写的目录shell

可写的目录,通常是不须要解析php,这个须要牢记,通常静态文件存放的目录是不容许解析php 的apache

11.29 限制user_agentvim

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} .curl. [NC,OR]
RewriteCond %{HTTP_USER_AGENT} .baidu.com. [NC]
RewriteRule .* - [F]
</IfModule>

OR:匹配的意思。user_agent匹配当前行或者下面一行。若是不加OR就是而且
NC:表示忽略大小写。由于有些浏览器首字符会大写。
F:就是直接Forbidden
由于curl是没有user_agent(上一次访问的地址)
curl -A "123123" 指定user_agent //自定义user_agent
curl -A "lsx lsx" -x192.168.211.150:80 discuz2.com/lsx/1.php -I //user_agent生效
cat /usr/local/apache2.4/logs/discuz2.com-access_log
192.168.211.150 - - [ +0800] "HEAD HTTP://discuz2.com/lsx/1.php HTTP/1.1" 200 - "-" "lsx lsx"

关于curl:
-A :指定user_agent
-e:指定Referer
-x:至关于省略hosts
-I:查看状态码

11.30 PHP相关配置浏览器

查看php配置文件位置

/usr/local/php/bin/php -i|grep -i "loaded configuration file"
Loaded Configuration File => /usr/local/php/etc/php.ini

没有php.ini 那么就须要复制模板过来安全

cd /usr/local/src/php-5.6.30/
cp php.ini-development /usr/local/php/etc/php.ini

编辑php配置文件

vim /usr/local/php/etc/php.ini

禁止危险函数

vim /usr/local/php/etc/php.ini

搜索disable_functions
在disable_functions =后面添加函数
eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close

预览
disable_functions = eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo

生效配置

/usr/local/apache2.4/bin/apachectl -t
/usr/local/apache2.4/bin/apachectl graceful

效果:

禁用函数后,这些函数就没法被调用,例如phpinfo做用是显示php的配置,而禁用后使用网页没法显示出来;bash

定义时区

搜索date.timezone
修改date.timezone =为
date.timezone = Asia/Shanghai服务器

关闭错误信息显示

搜索display_errors
将display_errors = On改成
display_errors = Offcurl

定义错误日志

搜索error_log =
修改error_log = 目录为
error_log = /tmp/php_errors.logsocket

定义错误日志级别

搜索error_reporting =
在error_reporting = E_ALL 修改成
error_reporting = E_ALL & ~E_NOTICE

open_basedir参数设定

open_basedir的做用是限制php在指定的目录里活动
vim /usr/local/php/etc/php.ini
搜索error_log =修改成指定目录
open_basedir = /data/wwwroot/111.com:/tmp

推荐在虚拟配置中设置
vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
针对网站站点增长代码 php_admin_value open_basedir "/data/wwwroot/111.com:/tmp/"

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程