限定某个目录禁止解析php 限制user_agent php相关配置

淑昊柠

　　一、限定某个目录禁止解析php

通过禁止php解析图片目录，来限制网站被×××恶意找到后门获取到数据库权限
#vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

#/usr/local/apache2.4/bin/apachectl -t
#/usr/local/apache2.4/bin/apachectl graceful
#mkdir upload    //在/data/wwwroot/111.com下创建一个upload目录
#cp 123.php upload/
#curl -x127.0.0.1:80 'http://111.com/upload/123.php' -I     //测试

二、限制user_agent

CC×××的原理是：×××者借助代理服务器（肉机）生成指向受害主机的合法请求，实现DDOS和伪装
通过日志分析，遇到user_agent很规律的请求基本可以判定它是CC×××
#vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf

#/usr/local/apache2.4/bin/apachectl -t
#/usr/local/apache2.4/bin/apachectl graceful
#curl -A "aminglinux aminglinux" -x192.168.8.131:80 #'http://111.com/123.php' -I        //-A指定user_agent，-e指定rewrite，必须以"http://"开头，-x指定hosts，-I仅仅查看状态码
　　三、PHP相关配置

通过浏览器访问，用phpinfo()函数查看网站phpinfo函数文件，如果没有加载php.ini，从源码包复制一个到/usr/local/php/etc/
cp   /usr/local/src/php-5.6.32/php.ini-development   /usr/local/php/etc/php.ini

disable_functions  是安全函数
#vim /usr/local/php/etc/php.ini      //修改配置文件，在disable_functions =后面加如下安全函数，有些企业生产环境上把phpinfo也加入到安全函数，增加安全性
disable_functions =eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close,phpinfo
#/usr/local/apache2.4/bin/apachectl graceful      //修改完成之后重新加载下文件
在浏览器中刷新http://111.com/index.php网页，出现如下页面提示：phpinfo被禁掉

#vim /usr/local/php/etc/php.ini     //date.timezone定义为亚洲上海或者重庆
date.timezone = Asia/Shanghai
把display_errors = On 修改为 display_errors = Off  ，改为Off后访问http://111.com/index.php将不会输出错误信息，直接变为白页
如果把错误信息输出禁用，需要把错误日志开启，log_errors = On，修改错误日志路径error_log = /tmp/php_errors.log
error_reporting定义错误日志记录级别 ，默认error_reporting = E_ALL，生产环境上一般使用     Show all errors, except for notices
#/usr/local/apache2.4/bin/apachectl -t
#/usr/local/apache2.4/bin/apachectl graceful
#ls /tmp     //可以查看下/tmp下有没有生成php_errors.log文件
#ls -l /tmp/php_errors.log
rw-r--r-- 1 daemon daemon 145 Jun  5 07:34 /tmp/php_errors.log    //可以看到它的属组是daemon
#ps aux |grep httpd

daemon其实是httpd的进程，那么这个错误日志是以这个进程的身份生成的
如果定义了一个错误日志，但是这个错误日志始终无法生成，就需要检查定义的错误路径有没有写的权限
#cat /tmp/php_errors.log     //查看错误日志内容
[05-Jun-2018 07:34:06 Asia/Shanghai] PHP Warning:  phpinfo() has been disabled for security reasons in /data/wwwroot/111.com/index.php on line 2
#vim /data/wwwroot/111.com/2.php      //创建一个2.php
curl -A "a" -x127.0.0.1:80 http://111.com/2.php -I      //报500错误
#cat /tmp/php_errors.log     //提示Parse error错误
[05-Jun-2018 08:14:40 Asia/Shanghai] PHP Parse error:  syntax error, unexpected end of file in /data/wwwroot/111.com/2.php on line 4
　　多站点安全配置：
需求：一个服务器跑多个站点，A站点代码可能有问题，有漏洞，结果A站点被黑了，要想使其他站点目录不受影响，可以增加open_basedir
#vim /usr/local/php/etc/php.ini
open_basedir=/data/wwwroot/111.com:/tmp       //如果是在php.ini下定义，只能定义一个open_basedir，是针对所有站点和临时目录
#/usr/local/apache2.4/bin/apachectl graceful
#vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf   // 对每个站点单独限定相互隔离，修改httpd-vhosts.conf 配置文件
php_admin_value open_basedir "/data/wwwroot/111.com:/tmp"    //在111.com站点配置文件中添加
php_admin_value open_basedir "/data/wwwroot/abc.com:/tmp"     //在abc.com站点配置文件中添加
#/usr/local/apache2.4/bin/apachectl -t
#/usr/local/apache2.4/bin/apachectl graceful