限定某个目录禁止解析php、限制user_agent、PHP相关配置

限定某个目录禁止解析php

某个目录下禁止解析 php，这个很有用，我们做网站安全的时候，这个用的很多，
比如某些目录可以上传文件， 为了避免上传的文件有×××， 所以我们禁止这个目录下面的访问解析 php.

测试目标：禁止PHP解析mm.com下yang目录内的文件
vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

添加以下内容

<Directory /data/wwwroot/mm.com/yang>
    php_admin_flag engine off
    </Directory>

    ![](http://i2.51cto.com/images/blog/201806/02/0e26419c6e77ca3c9c32ff38d10225d9.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

然后在mm.com目录下创建yang目录，并创建一个index.php文件
mkdir /data/wwwroot/mm.com/yang 创建文件夹yang
vim /data/wwwroot/mm.com/yang/index.php 创建index.php文件

在index.php下添加如下内容

<?php
echo "帅陽陽";

然后我们检查错误重新加载apache
/usr/local/apache2.4/bin/apachectl -t
/usr/local/apache2.4/bin/apachectl graceful

使用curl进行测试
curl -x192.168.71.131:80 mm.com/yang/index.php

可以看到PHP没有进行解析，直接输出源代码
这样设置可能不太友好，我们可以直接将其deny

编辑虚拟主机配置文件
添加以下内容

<Directory /data/wwwroot/mm.com/yang>
        php_admin_flag engine off
        <FilesMatch (.*)\.php(.*)>
           Order allow,deny
           deny from all
        </FilesMatch>
</Directory>

然后我们检查错误重新加载apache
/usr/local/apache2.4/bin/apachectl -t
/usr/local/apache2.4/bin/apachectl graceful

进行测试，显示403 Forbidden
curl -x192.168.71.131:80 mm.com/yang/index.php

---

限制user_agent

User-Agent（浏览器类型），即不让哪些浏览器来访问我们的网站
实验目标：限制user_agent为curl或者baidu.com的访问
编辑虚拟主机配置文件
vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

在配置文件中添加如下内容：

<IfModule mod_rewrite.c>
        RewriteEngine on
        RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]
        RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.*
        RewriteRule  .*  -  [F] 
    </IfModule>

上图的第三四行是条件，他们中间用OR作为他们的连接符，意思是user_agent匹配上面或者下面的条件，他们是或者的关系，如果不加OR就是并且的关系，NC表示忽略大小写，
第五行后面的F表示Forbidden的意思。

然后我们检查错误重新加载apache
/usr/local/apache2.4/bin/apachectl -t
/usr/local/apache2.4/bin/apachectl graceful

使用curl进行测试
curl -x192.168.71.131:80 'http://kjj.com/index.php' -I

显示403，原因就是因为user_agent是curl

然后我们-A自定义一下user_agent
curl -A "huangmingyang" -x192.168.71.131:80 'http://kjj.com/index.php' -I

结果是200，可以正常访问

curl常用选项：-A指定user_agent、-e指定referer、-x相当于是省略了hosts、-I只查看状态码。

---

php相关配置

查看php配置文件
在网站根目录下创建index.php
vim /data/wwwroot/mm.com/index.php

添加如下内容

<?php
phpinfo();

然后在浏览器器访问网站
我们可看到php的配置信息

可以看到php的配置文件存放在：/usr/local/php/etc/php.ini
如果在Loaded Configuration File这一栏显示的是（none），那么说明配置文件没有记载
如果需要启动配置文件，我们可以拷贝模板配置文件，模板配置文件通常在源码包里面放置的有，执行命令：
cp php.ini-development /usr/local/php/etc/php.ini

拷贝配置文件后需要重新加载下Apache再进行刷新就可以了

编辑配置文件
vim /usr/local/php/etc/php.in

启用disable_functions，可以禁用一些危险的函数，提高服务器的安全
搜索关键字：disable_functions 找到如下行：
disable_functions=

在后面添加如下内容
eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_clos

定义date.timezone ，时区
搜索关键字：date.timezone 找到如下行：
在后面添加如下内容，将时区定义为上海
Asia/shanghai

定义错误日志
搜索关键字：display_errors ，找到图片中的段
将其中的On改为Off，
更改之后错误的信息不会输出到浏览器里面，避免目录出现暴露

错误的信息看不到，那么我们还需要配置错误日志，以方便查找错误
搜索关键字：error_log ，找到图片中的行 ，可以自己定义错误日志存放的地址

定义错误日志记录的级别
搜索关键字：error_rep ，找到图中的标记红色的行，将级别更改为E_ALL，表示记录所有的警告

open_basedir
将 PHP 所能打开的文件限制在指定的目录树，包括文件本身。本指令不受安全模式打开或者关闭的影响。
当一个脚本试图用例如 fopen() 或者 gzopen() 打开一个文件时，该文件的位置将被检查。当文件在指定的目录树之外时 PHP 将拒绝打开它。所有的符号连接都会被解析，所以不可能通过符号连接来避开此限制。
特殊值 . 指明脚本的工作目录将被作为基准目录。但这有些危险，因为脚本的工作目录可以轻易被 chdir() 而改变。
在 httpd.conf 文件中中，open_basedir 可以像其它任何配置选项一样用“php_admin_value open_basedir none”的方法关闭（例如某些虚拟主机中）。
作为 Apache 模块时，父目录中的 open_basedir 路径自动被继承。
用 open_basedir 指定的限制实际上是前缀，不是目录名。也就是说“open_basedir = /dir/incl”也会允许访问“/dir/include”和“/dir/incls”，如果它们存在的话。如果要将访问限制在仅为指定的目录，用斜线结束路径名。例如：“open_basedir = /dir/incl/”。

针对不同的站点设置open_basedir，将用户可操作的文件限制在某目录下

1. 编辑虚拟主机配置文件
   vim /usr/local/httpd2.4/conf/extra/httpd-vhosts.conf
2. 在配置文件里面添加如下内容即可实现
   php_admin_value open_basedir "/data/wwwroot/111.com:/tmp/"