一、限定某个目录禁止解析php
通过禁止php解析图片目录,来限制网站被×××恶意找到后门获取到数据库权限
#vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
#/usr/local/apache2.4/bin/apachectl -t
#/usr/local/apache2.4/bin/apachectl graceful
#mkdir upload //在/data/wwwroot/111.com下创建一个upload目录
#cp 123.php upload/
#curl -x127.0.0.1:80 'http://111.com/upload/123.php' -I //测试
二、限制user_agent
CC×××的原理是:×××者借助代理服务器(肉机)生成指向受害主机的合法请求,实现DDOS和伪装
通过日志分析,遇到user_agent很规律的请求基本可以判定它是CC×××
#vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
#/usr/local/apache2.4/bin/apachectl -t
#/usr/local/apache2.4/bin/apachectl graceful
#curl -A "aminglinux aminglinux" -x192.168.8.131:80 #'http://111.com/123.php' -I //-A指定user_agent,-e指定rewrite,必须以"http://"开头,-x指定hosts,-I仅仅查看状态码
三、PHP相关配置
通过浏览器访问,用phpinfo()函数查看网站phpinfo函数文件,如果没有加载php.ini,从源码包复制一个到/usr/local/php/etc/
cp /usr/local/src/php-5.6.32/php.ini-development /usr/local/php/etc/php.ini
disable_functions 是安全函数
#vim /usr/local/php/etc/php.ini //修改配置文件,在disable_functions =后面加如下安全函数,有些企业生产环境上把phpinfo也加入到安全函数,增加安全性
disable_functions =eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo
#/usr/local/apache2.4/bin/apachectl graceful //修改完成之后重新加载下文件
在浏览器中刷新http://111.com/index.php网页,出现如下页面提示:phpinfo被禁掉
#vim /usr/local/php/etc/php.ini //date.timezone定义为亚洲上海或者重庆
date.timezone = Asia/Shanghai
把display_errors = On 修改为 display_errors = Off ,改为Off后访问http://111.com/index.php将不会输出错误信息,直接变为白页
如果把错误信息输出禁用,需要把错误日志开启,log_errors = On,修改错误日志路径error_log = /tmp/php_errors.log
error_reporting定义错误日志记录级别 ,默认error_reporting = E_ALL,生产环境上一般使用 Show all errors, except for notices
#/usr/local/apache2.4/bin/apachectl -t
#/usr/local/apache2.4/bin/apachectl graceful
#ls /tmp //可以查看下/tmp下有没有生成php_errors.log文件
#ls -l /tmp/php_errors.log
rw-r--r-- 1 daemon daemon 145 Jun 5 07:34 /tmp/php_errors.log //可以看到它的属组是daemon
#ps aux |grep httpd
daemon其实是httpd的进程,那么这个错误日志是以这个进程的身份生成的
如果定义了一个错误日志,但是这个错误日志始终无法生成,就需要检查定义的错误路径有没有写的权限
#cat /tmp/php_errors.log //查看错误日志内容
[05-Jun-2018 07:34:06 Asia/Shanghai] PHP Warning: phpinfo() has been disabled for security reasons in /data/wwwroot/111.com/index.php on line 2
#vim /data/wwwroot/111.com/2.php //创建一个2.php
curl -A "a" -x127.0.0.1:80 http://111.com/2.php -I //报500错误
#cat /tmp/php_errors.log //提示Parse error错误
[05-Jun-2018 08:14:40 Asia/Shanghai] PHP Parse error: syntax error, unexpected end of file in /data/wwwroot/111.com/2.php on line 4
多站点安全配置:
需求:一个服务器跑多个站点,A站点代码可能有问题,有漏洞,结果A站点被黑了,要想使其他站点目录不受影响,可以增加open_basedir
#vim /usr/local/php/etc/php.ini
open_basedir=/data/wwwroot/111.com:/tmp //如果是在php.ini下定义,只能定义一个open_basedir,是针对所有站点和临时目录
#/usr/local/apache2.4/bin/apachectl graceful
#vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf // 对每个站点单独限定相互隔离,修改httpd-vhosts.conf 配置文件
php_admin_value open_basedir "/data/wwwroot/111.com:/tmp" //在111.com站点配置文件中添加
php_admin_value open_basedir "/data/wwwroot/abc.com:/tmp" //在abc.com站点配置文件中添加
#/usr/local/apache2.4/bin/apachectl -t
#/usr/local/apache2.4/bin/apachectl graceful