Linux VPS安全技巧 – Nginx环境中的PHP安全设置

现在咱们站长作网站会愈来愈多的选择服务器，而不是虚拟主机。可是在选择vps服务器以后，咱们大部分网友会直接使用宝塔面板、LNMP等一键安装WEB系统去配置网站环境。有些软件确实是在不断的升级和维护且安全功能作的不错，可是有些可能尚未考虑到安全问题。

由于大部分软件提供商都更多的考虑到功能，对于细节的安全作的仍是不够的，好比前一段时间因为THINKPHP框架的漏洞致使安装THINKPHP的程序被黑，同时也影响到同一台服务器中的其余网站也有被黑掉，因此对于安全问题仍是须要单独的处理、

在这篇文章中，咱们VULTR中文网整理几个在处理NGINX环境中PHP安全的一些事项。

一、禁止不安全函数

disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,popen

这里咱们须要在php.ini中禁止这些函数，若是系统中已经禁止的咱们就不要添加。

二、防止跨站安全

在站点根目录建立.user.ini

open_basedir=/data/wwwroot/:/tmp/:/proc/

受权：

chattr +i .user.ini

这里咱们须要加以权限限制。

三、禁止一些目录执行PHP

#静态文件目录禁止PHP执行
location ~* ^/(uploads|templets|data)/.*.(php|php5)$ {
return 444;
}

这里咱们能够设置一些静态文件目录，好比图片上传目录禁止PHP执行权限。

固然，若是咱们有必要的话也能够在Nginx配置文件中添加其余一些安全问题，好比一些安全防御。

if ($http_user_agent ~* (wget|Scrapy|Curl|HttpClient)) {
return 403;
}

if ($http_user_agent ~* "WinHttp|WebZIP|FetchURL|node-superagent|java/|FeedDemon|Jullo|JikeSpider|Indy Library|Alexa Toolbar|AskTbFXTV|AhrefsBot|CrawlDaddy|Java|Feedly|Apache-HttpAsyncClient|UniversalFeedParser|ApacheBench|Webbench|Microsoft URL Control|Swiftbot|ZmEu|oBot|jaunty|Python-urllib|lightDeckReports Bot|YYSpider|DigExt|MJ12bot|heritrix|EasouSpider|Ezooms|BOT/0.1|YandexBot|FlightDeckReports|Linguee Bot|^$") {return 403;}