lnmp架构下php安全配置

qweewq123qwe

　　
　　1、使用open_basedir限制虚拟主机跨目录访问
　　[HOST=www.ttlsa.com]
　　open_basedir=/data/site/www.ttlsa.com/:/tmp/
　　[HOST=test.ttlsa.com]
　　open_basedir=/data/site/test.ttlsa.com/:/tmp/
　　#注意：目录最后一定要加上/。比如你写/tmp,你的站点同时存在/tmp123等等以/tmp开头的目录，那么也可以访问到这些目录。
　　2、禁用不安全PHP函数
　　disable_functions = show_source,system,shell_exec,passthru,exec,popen,proc_open,proc_get_status,phpinfo
　　3、关注软件安全资讯
　　积极关注linux内核、php安全等信息
　　4、php用户只读
　　这个方法是我最推崇的方法，但是执行之前一定要和php工程师商量. 为什么？例如站点www.ttlsa.com根目录用户与组为nobody，而运行php的用户和组为phpuser。目录权限为755，文件权限为644. 如此，php为只读，无法写入任何文件到站点目录下。也就是说用户不能上传文件，即使有漏洞, ***也传不了后门, 更不可能挂***. 这么干之前告知程序员将文件缓存改为nosql内存缓存（例如memcached、redis等），上传的文件通过接口传到其他服务器（静态服务器）。 [warning]备注：程序生成本地缓存是个非常糟糕的习惯，使用文件缓存速度缓慢、浪费磁盘空间、最重要一点是一般情况下服务器无法横向扩展.[/warning]
　　5、关闭php错误日志
　　display_errors = On 改为Off
　　6、php上传分离
　　将文件上传到远程服务器，例如nfs等。当然也可以调用你们写好的php接口. 即使有上传漏洞，那么文件也被传到了静态服务器上。***等文件根本无法执行. 举个例子： php站点www.ttlsa.com，目录/data/site/www.ttlsa.com 静态文件站点static.ttlsa.com，目录/data/site/static.ttlsa.com 文件直接被传到了/data/site/static.ttlsa.com，上传的文件无法通过www.ttlsa.com来访问，只能使用static.ttlsa.com访问，但是static.ttlsa.com不支持php.
　　7、关闭php信息
　　expose_php = On 改为 Off   #不透漏php版本信息
　　8、禁止动态加载链接库
　　disable_dl = On 改为 Off
　　9、禁止打开远程url
　　allow_url_fopen = On 改为 Off
　　其实这点算不上真正的安全, 并不会导致web被***等问题,但是这个非常影响性能, 笔者认为它属于狭义的安全问题. 以下方法将无法获取远程url内容
　　$data = file_get_contents('http://www.baidu.com/');
　　以下方法可以获取本地文件内容
　　$data = file_get_contents("1.txt");
　　如果你的站点访问量不大、数据库也运行良好，但是web服务器负载出奇的高，请你直接检查下是否有这个方法。笔者遇到过太多这个问题，目前生产环境已全线禁用，如果php工程师需要获取远程web的内容，建议他们使用curl。