访问控制
限定某个目录禁止解析php上传图片的目录不需要解析php,静态文件存放目录不允许放php的。
[*] 编辑apache虚拟主机配置文件:
# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
添加下面内容:
php_admin_flag engine off
测试并重载配置文件:
# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
# /usr/local/apache2.4/bin/apachectl graceful
[*] 创建相应的目录并放入对应文件
# mkdir upload
……
# ls upload/
123.phpabc.jpgbaidu.png
[*] 测试
访问123.php文件:
# curl -x192.168.8.131:80 'http://111.com/upload/123.php'
直接显示源代码,即无法进行php解析。
访问baidu.png文件:
# curl -x192.168.8.131:80 'http://111.com/upload/baidu.png' -I
HTTP/1.1 200 OK
Date: Thu, 03 Aug 2017 04:47:16 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Last-Modified: Thu, 03 Aug 2017 04:25:26 GMT
ETag: "e7a-555d1c5172a6c"
Accept-Ranges: bytes
Content-Length: 3706
Content-Type: image/png
#正常访问图片文件。
[*] 添加php访问权限
添加参数“< FilesMatch (.)\ .php(. ) ”
# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
添加下面的配置:
php_admin_flag engine off
Order Allow,Deny
Deny from all
测试并重载配置文件:
# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
# /usr/local/apache2.4/bin/apachectl graceful
[*] 测试
访问123.php:
# curl -x127.0.0.1:80 111.com/upload/123.php -I
HTTP/1.1 403 Forbidden
Date: Thu, 03 Aug 2017 04:28:49 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1
#返回状态码为403,即无法访问。
访问baidu.png:
# curl -x127.0.0.1:80 111.com/upload/baidu.png -I
HTTP/1.1 200 OK
Date: Thu, 03 Aug 2017 04:29:25 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Last-Modified: Thu, 03 Aug 2017 04:25:26 GMT
ETag: "e7a-555d1c5172a6c
Accept-Ranges: bytes
Content-Length: 3706
Content-Type: image/png
正常访问其它文件。
访问控制-user_agent
user_agent(用户代理):可以理解为浏览器标识。
需求背景:有时候网站受到CC***,其原理是:***者借助代理服务器(肉机)生成指向受害主机的合法请求,实现DDOS和伪装,CC***的一个特点就是其useragent是一致的,所以,可以通过限制***者useragent的方法来阻断其***。
[*] 编辑apache虚拟主机的配置文件
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT}.curl.
NC 忽略大小写, OR 或者的意思,与吓一跳语句相关
RewriteCond %{HTTP_USER_AGENT}.*baidu.com.*
RewriteRule.*-
#F 是Fobidden禁止
测试并重载配置文件:
# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
# /usr/local/apache2.4/bin/apachectl graceful
[*] 检测
使用curl直接访问:
# curl -x192.168.8.131:80 'http://111.com/123.php' -I
HTTP/1.1 403 Forbidden
Date: Thu, 03 Aug 2017 06:59:14 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1
返回值为403,禁止访问。
使用agent aminglinux aminglinux访问:
# curl -A "aminglinux aminglinux" -x192.168.8.131:80 'http://111.com/123.php' -I
HTTP/1.1 200 OK
Date: Thu, 03 Aug 2017 07:01:01 GMT
Server: Apache/2.4.27 (Unix) PHP/5.6.30
X-Powered-By: PHP/5.6.30
Content-Type: text/html; charset=UTF-8
# curl -A "aminglinux aminglinux" -x192.168.8.131:80 'http://111.com/123.php'
welcom to 123file
正常访问
curl-A 指定useragent。curl -A “abc”。
PHP相关配置
[*] 查看php配置文件位置
查看php配置文件路径有两种方法。1.通过命令查找 2.通过php网页信息查找。(较准)
使用命令查看:
/usr/local/php/bin/php -i|grep -i "loaded configuration file"
通过php网页信息查看:
在网页文件的目录下创建一个phpinfo文件。文件名为1.php。
内容为:
通浏览器过访问该文件,可知php配置文件路径。Loaded Configuration File 后跟的就是php配置文件路径。
[*]disable_function
eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo 以上为php中比较危险的函数,可以用过“disable_function”来限制,以达到提高网站安全性的目的
# vim /usr/local/php/etc/php.ini
disable_functions默认是空的。(303行)
disable_functions =eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo
# 添加phpinfo惨术后就无法访问phpinfo页面。
检查并重载配置文件:
# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
# /usr/local/apache2.4/bin/apachectl graceful
display_errors = Off(459行)
#会把错误的信息显示到浏览器上,一般情况设置为off。使用curl访问也没有任何输出。
重载配置文件之后,无法通过网页访问phpinfo页面。很多企业会在生成环境中将phpinfo限制。
[*] date.timezone
设定时区
# vim /usr/local/php/etc/php.ini
timezone默认为空
date.timezone =Asia/Chongqing (Shanghai)
[*] 日志
log_error=On/Off 开启或关闭错误日志(487行)
错误日志路径:
;error_log = php_errors.log
#默认显示(572行)
修改成指定路径:
error_log = /tmp/php_errors.log
需要将前面的;(分号)去掉。
定义日志的级别:
error_reporting = EALL
#默认(449行)
级别有:E ALL(最不严谨的) 、~E NOTICE 、~E STRICT、~EDEPRECATED(可以自由组合)
生产环境使用:E ALL & ~E_ NOTICE就可以。
日志级别的定义解释:
E_ALL (Show all errors, warnings and notices including coding standards.)
; E_ALL & ~E_NOTICE(Show all errors, except for notices)
; E_ALL & ~E_NOTICE & ~E_STRICT(Show all errors, except for notices and coding standards warnings.)
; E_COMPILE_ERROR|E_RECOVERABLE_ERROR|E_ERROR|E_CORE_ERROR(Show only errors)
检测并重载配置文件:
# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
# /usr/local/apache2.4/bin/apachectl graceful
配置好之后,只要有错误日志,就会记录在/tmp/php_errors.log 文件中。
如果没有生成错误日志则使用命令 grep error_log /usr/local/php/etc/php.ini 查看错误日志路径。然后按照这个路径创建一个文件并给文件加上777权限。
[*] open_basedir
这是一个安全选项。当只要一个站点被人拿下,服务器上的其他站点就会跟着遭殃,设置open_basedir之后,虽然不能详细控制以某个用户运行某个站点,但至少不会再出现整个服务器被拿下的局面。open_basedir可将用户访问文件的活动范围限制在指定的区域,通常是其家目录的路径。
在/usr/local/php/etc/php.ini 是限制所有站点。如果一台服务器跑了多个站点,只能去虚拟主机配置文件里配置。
# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
在每台虚拟主机配置中加入下面内容,修改open_basedir 为DocumentRoot 的地址。
php_admin_value open_basedir "/data/wwwroot/111.com:/tmp/"
说明: “php_admin_value”可以定义php.ini中的参数。使用该办法分别在每个虚拟主机设定相关的“open_basedir”即可!
在此开放“/tmp/”目录是为了使临时文件能正常写入。
重载配置文件后生效
页:
[1]