今、私たちはより多くのウェブサイトの所有者は、サーバーの選択ではなく、仮想ホストを作るだろう。しかし、選択したVPSをサーバーた後、ユーザーの皆様のほとんどは直接五重塔パネル、LNMPは、キーとしてWEBサイト環境を構成するためのシステムをインストールします。一部のソフトウェアは、実際に一定のアップグレードやメンテナンスおよびセキュリティ機能で良いんですが、いくつかは、アカウントのセキュリティ問題にならない可能性があります。
ほとんどのソフトウェアプロバイダが行うには、セキュリティの詳細は、機能するために、より配慮されているので例えば、いくつかの時間前に起因THINKPHPフレームワークはTHINKPHPプログラムが黒でインストールをもたらしている脆弱性には、十分ではありませんが、他に同じサーバに影響を与えますウェブサイトでは、また、ハッキングされているので、安全性の問題のために、まだ別の治療を必要とします
この記事では、我々は、中国のウェブVULTRいくつかの環境での仕上げ工程は、いくつかのPHPのセキュリティをnginxの。
1、危険な機能を禁止
disable_functions =パススルー、EXEC、システム、chroot環境、chgrpコマンド、chownコマンド、もしくはshell_exec、は、proc_open、proc_get_status、ini_alter、ini_restore、DL、はopenlog、シスログ、READLINK、シンボリックリンク、popepassthru、stream_socket_server、fsocket、popenの
ここでは、我々は追加しないと、システムが禁止されている場合は、php.iniでこれらの機能を禁止する必要があります。
2、クロスサイトのセキュリティを防ぐために
.User.iniは、サイトのルートディレクトリに作成されました
open_basedirの= /データ/ wwwrootに/:/ tmpに/:/ procの/
認証:
chattrは+ I .user.ini
ここでは、アクセス制限する必要があります。
3、いくつかのディレクトリは、PHPを実行禁止
#静的なPHPファイルディレクトリは、実行禁止
/.*(PHP | PHP5)〜* ^ /(| | templetsデータのアップロード)LOCATION $ {を。
444を返します;
}
ここでは禁止されている、このような画像アップロードPHPの実行ディレクトリのアクセス許可として、いくつかの静的ファイルのディレクトリを設定することができます。
我々がする必要がある場合はもちろん、あなたは、このようないくつかのセキュリティとして、nginxの設定ファイルにいくつかの他のセキュリティ問題を追加することができます。
もし($ HTTP_USER_AGENT〜*(wgetコマンド| Scrapy |カール|のHttpClient)){
403を返します。
}Alexaのツールバー| | WebZIP | | FetchURL |ノード-たSuperAgent |のjava / | FeedDemonの| Jullo | JikeSpider |インディ・ライブラリー($ HTTP_USER_AGENT〜*「WINHTTP場合AskTbFXTV | AhrefsBot | CrawlDaddy |ジャワ| Feedly |アパッチ-HttpAsyncClient | UniversalFeedParser | ApacheBench | WebBenchの|マイクロソフトURLコントロール| Swiftbot |ズメウ| oBot |軽快|パイソン-urllibは| lightDeckReportsボット| YYSpider | DigExt | MJ12bot | heritrix | EasouSpider | Ezooms | BOT / 0.1 | YandexBot | FlightDeckReports | Lingueeボット| ^ $ "){
リターン403;
}