萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 如何在lnmp架構下安全配置PHP

如何在lnmp架構下安全配置PHP

  以往的lamp網站向著lnmp發展, 筆者工作環境使用lnmp多年, 在這裡很高興和大家分享一下多年的lnmp網站的php安全配置,至於lamp安全後續與大家分享,其實內容上八成相同,這邊著重講php安全配置,看內容.

  1. 使用open_basedir限制虛擬主機跨目錄訪問

  [HOST=www.ttlsa.com]

  open_basedir=/data/site/www.ttlsa.com/:/tmp/

  [HOST=test.ttlsa.com]

  open_basedir=/data/site/test.ttlsa.com/:/tmp/

  如上配置的意思是www.ttlsa.com下的php程序被限制在open_basedir配置的兩個目錄下, 不可以訪問到其他目錄。如果沒有做以上的配置,那麼test.ttlsa.com與www.ttlsa.com的程序可以互相訪問.

  如果其中一個站點有漏洞被黑客植入了webshell,那麼他可以通過這個站點拿下同一台服務器的其他站點,最後掛木馬.

  注意:目錄最後一定要加上/. 比如你寫/tmp,你的站點同時存在/tmp123等等以/tmp開頭的目錄,那麼黑客也可以訪問到這些目錄,另外, php5.3以上支持這個寫法,5.2不支持。

  2. 禁用不安全PHP函數

  disable_functions = show_source,system,shell_exec,passthru,exec,popen,proc_open,proc_get_status,phpinfo

  禁止php執行以上php函數,以上php程序可以執行linux命令, 比如可以執行ping、netstat、mysql等等.如果你的系統有提權bug,後果你懂得.

  3. 關注軟件安全資訊

  積極關注linux內核、php安全等信息並及時采取錯誤

  4. php用戶只讀

  這 個方法是我最推崇的方法,但是執行之前一定要和php工程師商量. 為什麼?例如站點www.ttlsa.com根目錄用戶與組為nobody,而運行php的用戶和組為phpuser。目錄權限為755,文件權限為 644. 如此,php為只讀,無法寫入任何文件到站點目錄下。也就是說用戶不能上傳文件,即使有漏洞, 黑客也傳不了後門, 更不可能掛木馬. 這麼干之前告知程序員將文件緩存改為nosql內存緩存(例如memcached、redis等),上傳的文件通過接口傳到其他服務 器(靜態服務器)。

  備注:程序生成本地緩存是個非常糟糕的習慣,使用文件緩存速度緩慢、浪費磁盤空間、最重要一點是一般情況下服務器無法橫向擴展

  5. 關閉php錯誤日志

  display_errors = On

  改為

  display_errors = Off

  程序一旦出現錯誤,詳細錯誤信息便立刻展示到用戶眼前,其中包含路徑、有的甚至是數據庫賬號密碼. 注入滲透密碼基本上都是通過這個報錯來猜取。生產環境上強烈關閉它

  6. php上傳分離

  將文件上傳到遠程服務器,例如nfs等。當然也可以調用你們寫好的php接口. 即使有上傳漏洞,那麼文件也被傳到了靜態服務器上。木馬等文件根本無法執行.

  舉個例子:

  php站點www.ttlsa.com,目錄/data/site/www.ttlsa.com

  靜態文件站點static.ttlsa.com,目錄/data/site/static.ttlsa.com

  文件直接被傳到了/data/site/static.ttlsa.com,上傳的文件無法通過www.ttlsa.com來訪問,只能使用static.ttlsa.com訪問,但是static.ttlsa.com不支持php.

  7. 關閉php信息

  expose_php = On

  改為

  expose_php = Off

  不輕易透露自己php版本信息,防止黑客針對這個版本的php發動攻擊.

  8. 禁止動態加載鏈接庫

  disable_dl = On;

  改為

  enable_dl = Off;

  9. 禁用打開遠程url
copyright © 萬盛學電腦網 all rights reserved