如何在lnmp架構下安全配置PHP

　　以往的lamp網站向著lnmp發展, 筆者工作環境使用lnmp多年, 在這裡很高興和大家分享一下多年的lnmp網站的php安全配置，至於lamp安全後續與大家分享，其實內容上八成相同，這邊著重講php安全配置，看內容.

　　1. 使用open_basedir限制虛擬主機跨目錄訪問

　　[HOST=www.ttlsa.com]

　　open_basedir=/data/site/www.ttlsa.com/:/tmp/

　　[HOST=test.ttlsa.com]

　　open_basedir=/data/site/test.ttlsa.com/:/tmp/

　　如上配置的意思是www.ttlsa.com下的php程序被限制在open_basedir配置的兩個目錄下, 不可以訪問到其他目錄。如果沒有做以上的配置，那麼test.ttlsa.com與www.ttlsa.com的程序可以互相訪問.

　　如果其中一個站點有漏洞被黑客植入了webshell，那麼他可以通過這個站點拿下同一台服務器的其他站點，最後掛木馬.

　　注意：目錄最後一定要加上/. 比如你寫/tmp，你的站點同時存在/tmp123等等以/tmp開頭的目錄，那麼黑客也可以訪問到這些目錄，另外, php5.3以上支持這個寫法，5.2不支持。

　　2. 禁用不安全PHP函數

　　disable_functions = show_source,system,shell_exec,passthru,exec,popen,proc_open,proc_get_status,phpinfo

　　禁止php執行以上php函數,以上php程序可以執行linux命令, 比如可以執行ping、netstat、mysql等等.如果你的系統有提權bug,後果你懂得.

　　3. 關注軟件安全資訊

　　積極關注linux內核、php安全等信息並及時采取錯誤

　　4. php用戶只讀

　　這 個方法是我最推崇的方法，但是執行之前一定要和php工程師商量. 為什麼？例如站點www.ttlsa.com根目錄用戶與組為nobody，而運行php的用戶和組為phpuser。目錄權限為755，文件權限為 644. 如此，php為只讀，無法寫入任何文件到站點目錄下。也就是說用戶不能上傳文件，即使有漏洞, 黑客也傳不了後門, 更不可能掛木馬. 這麼干之前告知程序員將文件緩存改為nosql內存緩存（例如memcached、redis等），上傳的文件通過接口傳到其他服務 器（靜態服務器）。

　　備注：程序生成本地緩存是個非常糟糕的習慣，使用文件緩存速度緩慢、浪費磁盤空間、最重要一點是一般情況下服務器無法橫向擴展

　　5. 關閉php錯誤日志

　　display_errors = On

　　改為

　　display_errors = Off

　　程序一旦出現錯誤，詳細錯誤信息便立刻展示到用戶眼前，其中包含路徑、有的甚至是數據庫賬號密碼. 注入滲透密碼基本上都是通過這個報錯來猜取。生產環境上強烈關閉它

　　6. php上傳分離

　　將文件上傳到遠程服務器，例如nfs等。當然也可以調用你們寫好的php接口. 即使有上傳漏洞，那麼文件也被傳到了靜態服務器上。木馬等文件根本無法執行.

　　舉個例子：

　　php站點www.ttlsa.com，目錄/data/site/www.ttlsa.com

　　靜態文件站點static.ttlsa.com，目錄/data/site/static.ttlsa.com

　　文件直接被傳到了/data/site/static.ttlsa.com，上傳的文件無法通過www.ttlsa.com來訪問，只能使用static.ttlsa.com訪問，但是static.ttlsa.com不支持php.

　　7. 關閉php信息

　　expose_php = On

　　改為

　　expose_php = Off

　　不輕易透露自己php版本信息，防止黑客針對這個版本的php發動攻擊.

　　8. 禁止動態加載鏈接庫

　　disable_dl = On;

　　改為

　　enable_dl = Off;

　　9. 禁用打開遠程url