国产99久久久国产精品成人免费_日韩 亚洲 制服 欧美 综合_亚洲国产中文激情在线一区_欧美特黄一级AAA免费看_51久久夜色精品国产水果派解说_欧美国产综合一区二区_另类小说 在线日韩 欧美_精品无码免费专区毛片_好爽好大www视频在线播放_国产色欲视频偷自精品一二

賦能企業(yè)發(fā)展數(shù)字化經(jīng)濟(jì)   7X24服務(wù)熱線:400-613-6156

Linux系統(tǒng)下PHP網(wǎng)站安全配置加固防護(hù)方法

發(fā)布時間:11-07      

一、PHP安全配置
1、確保運(yùn)行php的用戶為一般用戶,如www
2、 php.ini參數(shù)設(shè)置
disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,phpinfo #禁用的函數(shù)
expose_php = off #避免暴露PHP信息
display_errors = off #關(guān)閉錯誤信息提示
register_globals = off #關(guān)閉全局變量
enable_dl = off #不允許調(diào)用dl
allow_url_include = off #避免遠(yuǎn)程調(diào)用文件
session.cookie_httponly = 1 #http only開啟
upload_tmp_dir = /tmp#明確定義upload目錄
open_basedir = ./:/tmp:/home/wwwroot/#限制用戶訪問的目錄
open_basedir參數(shù)詳解
open_basedir可將用戶訪問文件的活動范圍限制在指定的區(qū)域,通常是其家目錄的路徑,也可用符號"."來代表當(dāng)前目錄。注意用open_basedir指定的限制實(shí)際上是前綴,而不是目錄名。

注意:
從網(wǎng)上獲取的資料來看,open_basedir會對php操作io的性能產(chǎn)生很大的影響。配置了php_basedir的腳本io執(zhí)行速度會比沒有配置的慢10倍甚至更多,請用戶自己衡量
open_basedir也可以同時設(shè)置多個目錄, 在Windows中用分號分隔目錄,在任何其它系統(tǒng)中用冒號分隔目錄。當(dāng)其作用于Apache模塊時,父目錄中的open_basedir路徑自動被繼承。

二、MySQL安全設(shè)置
1、 MySQL版本的選擇
在正式生產(chǎn)環(huán)境中,禁止使用4.1系列的MySQL數(shù)據(jù)庫。至少需要使用5.1.39或以上版本。
2、網(wǎng)絡(luò)和端口的配置
在數(shù)據(jù)庫只需供本機(jī)使用的情況下,使用–skip-networking參數(shù)禁止監(jiān)聽網(wǎng)絡(luò) 。
3、確保運(yùn)行MySQL的用戶為一般用戶,如mysql,注意存放數(shù)據(jù)目錄權(quán)限為mysql。
vi/etc/my.cnf 
user = mysql 
4、開啟mysql二進(jìn)制日志,在誤刪除數(shù)據(jù)的情況下,可以通過二進(jìn)制日志恢復(fù)到某個時間點(diǎn)
vi/etc/my.cnf 
log_bin = mysql-bin 
expire_logs_days = 7 
5、認(rèn)證和授權(quán)
(1) 禁止root賬號從網(wǎng)絡(luò)訪問數(shù)據(jù)庫,root賬號只允許來自本地主機(jī)的登陸。
(2) 刪除匿名賬號和空口令賬號

三、web服務(wù)器安全
確保運(yùn)行Nginx或者Apache的用戶為一般用戶,如www,注意存放數(shù)據(jù)目錄權(quán)限為www

防止sql注入
if( $query_string ~* ".*[\;'\<\>].*"){ 
return404; 


關(guān)閉存放數(shù)據(jù)上傳等目錄的PHP解析
location ~* ^/(attachments|data)/.*\.(php|php5)${ 
deny all; 

針對Apache:關(guān)閉圖片目錄/上傳等目錄的PHP解析
order allow,deny 
Deny from all 

四、木馬查殺和防范
php木馬快速查找命令
grep-r --include=*.php '[^a-z]eval($_POST'/home/wwwroot/ 
grep-r --include=*.php 'file_put_contents(.*$_POST\[.*\]);'/home/wwwroot/ 

利用find mtime查找最近兩天或者發(fā)現(xiàn)木馬的這幾天,有哪些PHP文件被修改
find-mtime -2 -typef -name \*.php 

防范:
1、做好之前的安全措施,比如禁用相關(guān)PHP函數(shù)等
2、 改變目錄和文件屬性
find-typef -name \*.php -execchomd 644 {} \; 
find-typed -execchmod755 {} \; 
chown-R www.www /home/wwwroot/www.waitalone.cn 
3、 為防止跨站感染,需要做虛擬主機(jī)目錄隔離
(1) nginx的簡單實(shí)現(xiàn)方法
利用nginx跑多個虛擬主機(jī),習(xí)慣的php.ini的open_basedir配置:
open_basedir = ./:tmp:/home/wwwroot/ 
注:/home/wwwroot/是放置所有虛擬主機(jī)的web路徑

黑客可以利用任何一個站點(diǎn)的webshell進(jìn)入到/home/wwwroot/目錄下的任何地方,這樣對各個虛擬主機(jī)的危害就很大
例如: /data/www/wwwroot目錄下有2個虛擬主機(jī)
修改php.ini
open_basedir = ./:/tmp:/home/wwwroot/www.sinesafe.com:/home/wwwroot/back.sinesafe.com 
這樣用戶上傳webshell就無法跨目錄訪問了。

(2) Apache的實(shí)現(xiàn)方法,控制跨目錄訪問
在虛擬機(jī)主機(jī)配置文件中加入
php_admin_value open_basedir "/tmp:/home/wwwroot/www.sinesafe.com"  
上一篇:NAS的優(yōu)劣勢分析及選擇      下一篇:瀏覽器如何與Web服務(wù)器進(jìn)行通信