Linux下PHP+Apache的26個必知的安全設置

 更新時間:2020-01-12 19:00:27   作者:佚名   我要評論(0)

PHP是一種開源服務器端腳本語言,應用很廣泛。Apache web服務器提供了這種便利:通過HTTP或HTTPS協議,訪問文件和內容。配置不當的服務器端腳本語言會帶來各種各樣

PHP是一種開源服務器端腳本語言,應用很廣泛。Apache web服務器提供了這種便利:通過HTTP或HTTPS協議,訪問文件和內容。配置不當的服務器端腳本語言會帶來各種各樣的問題。所以,使用php時要小心。以下是Linux下PHP+Apache的26個PHP程序員必知的安全方面的設置

為PHP安全提示而提供的示例環境

文件根目錄(DocumentRoot):/var/www/html

默認的Web服務器:Apache(可以使用Lighttpd或Nginx來取代Apache)

默認的PHP配置文件:/etc/php.ini

默認的PHP加載模塊配置目錄:/etc/php.d/

我們的示例php安全配置文件:/etc/php.d/security.ini(需要使用文本編輯器來創建該文件)

操作系統:RHEL/CentOS/FedoraLinux(相關指令應該與Debian/Ubuntu等其他任何Linux發行版或者OpenBSD/FreeBSD/HP-UX等其他類似Unix的操作系統兼容)。

默認的php服務器TCP/UDP端口:無

為本文所列的大多數操作編寫代碼時,假定它們將由運行bash外殼程序或其他任何現代外殼程序的根用戶來執行:

$ php -v

示例輸出:

PHP 5.3.3 (cli) (built: Oct 24 2011 08:35:41)
Copyright (c) 1997-2010 The PHP Group
Zend Engine v2.3.0, Copyright (c) 1998-2010 Zend Technologies

出于演示的用途,我會使用以下操作系統:

$cat/etc/redhat-release

示例輸出:

Red HatEnterprise Linux Server release 6.1 (Santiago)

第1個設置項:了解你的對手

基于PHP的應用程序面臨不同類型的攻擊。我注意到了幾種不同類型的攻擊:

XSS:跨站腳本是Web PHP應用程序中的一種安全漏洞,攻擊者可以利用該漏洞來竊取用戶的信息。你可以配置Apache,編寫更安全的PHP腳本(驗證所有的用戶輸入),以避免XSS攻擊。

SQL注入攻擊:這是PHP應用程序的數據庫層中的安全漏洞。用戶輸入不正確地過濾時,應用程序就能執行任何SQL語句。你可以配置Apache,編寫安全代碼(驗證和轉換所有的用戶輸入),以避免SQL注入攻擊。PHP中的一個常見做法是,在發送SQL查詢之前,使用名為mysql_real_escape_string()的函數,轉換參數。

文件上傳:它讓訪客可以將文件放在(將文件上傳到)你的服務器上。這會帶來眾多安全問題,比如刪除你的文件、刪除數據庫、獲取用戶詳細資料,不一而足。你可以使用php來禁用文件上傳,或編寫安全代碼(比如驗證用戶輸入,只允許PNG或GIF等圖像文件類型)。

添加本地和遠程文件:攻擊者可以從遠程服務器打開文件,執行任何PHP代碼。這讓他們得以上傳文件、刪除文件和安裝后門?梢耘渲胮hp以禁用遠程文件執行功能。

eval() :將字符串作為PHP代碼來進行評估。攻擊者常常利用該函數來隱藏其在服務器本身上面的代碼和工具。你可以配置PHP,禁用eval()。

sea-surf攻擊(跨站請求偽造,CSRF):這種攻擊迫使最終用戶針對目前已驗證其身份的Web應用程序執行有害的操作。如果是平常的用戶,得逞的CSRF攻擊會危及最終用戶的數據和操作。但如果被盯上的最終用戶使用管理員帳戶,這會危及整個Web應用程序。

第2個設置項:查找內置的PHP模塊

想查看一組編譯進去的PHP模塊,請輸入以下命令:

# php -m

我建議你使用模塊數量減少的PHP,以增強性能和安全。比如說,你可以通過刪除(移除)配置文件或者更名(或移動)一個名為/etc/php.d/sqlite3.ini的文件來禁用sqlite3模塊,操作如下:

#rm/etc/php.d/sqlite3.ini

或者

#mv/etc/php.d/sqlite3.ini /etc/php.d/sqlite3.disable

其他編譯進去的模塊只能通過重新安裝精簡配置的PHP來移除?梢詮膒hp.net下載php源代碼,然后按以下方法編譯它,支持GD、fastcgi和mysql:

./configure --with-libdir=lib64 --with-gd --with-mysql --prefix=/usr --exec-prefix=/usr --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc --datadir=/usr/share --includedir=/usr/include --libexecdir=/usr/libexec --localstatedir=/var --sharedstatedir=/usr/com --mandir=/usr/share/man--infodir=/usr/share/info--cache-file=../config.cache --with-config-file-path=/etc --with-config-file-scan-dir=/etc/php.d --enable-fastcgi --enable-force-cgi-redirect

參閱如何編譯php,并重新安裝到類似Unix的操作系統上(http://www.php.net/manual/en/install.unix.php),以了解更多信息。

第3個設置項:限制PHP信息泄露

要限制PHP信息泄露,就要禁用expose_php。編輯/etc/php.d/secutity.ini,執行以下指令:

expose_php=Off

啟用后,expose_php向外界報告PHP安裝在服務器上,這包括HTTP頭里面的PHP版本(如X-Powered-By: PHP/5.3.3)。PHP標識的全局唯一標識符(GUID,見示例http://www.php.net/?=PHPE9568F34-D428-11d2-A769-00AA001ACF42)也顯示出來,因而將它們添加到支持PHP的網站的URL后面,就會顯示相應標識。expose_php啟用后,你可以使用以下命令,查看PHP版本:

$curl-I //www.jb51.net

示例輸出:

HTTP/1.1 200 OK
X-Powered-By: PHP/5.3.3
Content-type: text/html; charset=UTF-8
Vary:accept-Encoding, Cookie
X-Vary-Options: Accept-Encoding;list-contains=gzip,Cookie;string-contains=wikiToken;string-contains=wikiLoggedOut;string-contains=wiki_session
last-Modified: Thu, 03 Nov 2011 22:32:55 GMT
...

我還建議,你應在httpd.conf中執行ServerTokens和ServerSignature命令,隱藏Apache版本及其他信息(http://www.cyberciti.biz/faq/rhel-centos-hide-httpd-version/)。

第4個設置項:盡量減少可裝入的PHP模塊(動態加載模塊)

PHP支持“動態加載模塊”(Dynamic Extensions)。默認情況下,RHEL裝入/etc/php.d/目錄里面的所有加載模塊。要啟用或禁用某一個模塊,只要在/etc/php.d/目錄中找到配置文件、為模塊名稱添加注釋。你還可以更名或刪除模塊配置文件。想獲得最佳的PHP性能和安全,你應該只啟用Web應用程序需要的加載模塊。比如說,要禁用gd加載模塊,輸入以下命令:

#cd/etc/php.d/
# mv gd.{ini,disable}
# /sbin/servicehttpd restart

要啟用名為gd的php模塊,請輸入:

# mv gd.{disable,ini}
# /sbin/service httpd restart

第5個設置項:將所有PHP錯誤記入日志

別讓PHP錯誤信息暴露在網站的所有訪客面前。編輯/etc/php.d/security.ini,執行以下指令:

display_errors=Off

確保你將所有PHP錯誤記入到日志文件中(http://www.cyberciti.biz/tips/php-howto-turn-on-error-log-file.html):

log_errors=On

error_log=/var/log/httpd/php_scripts_error.log

第6個設置項:不允許上傳文件

出于安全原因,編輯/etc/php.d/security.ini,執行以下命令:

file_uploads=Off

如果使用你應用程序的用戶需要上傳文件,只要設置upload_max_filesize(http://www.cyberciti.biz/faq/linux-unix-apache-increase-php-upload-limit/),即可啟用該功能,該設置限制了PHP允許通過上傳的文件的最大值:

file_uploads=On

用戶通過PHP上傳的文件最大1MB

upload_max_filesize=1M

第7個設置項:關閉遠程代碼執行

如果啟用,allow_url_fopen允許PHP的文件函數——如file_get_contents()、include語句和require語句——可以從遠程地方(如ftp或網站)獲取數據。

allow_url_fopen選項允許PHP的文件函數——如file_get_contents()、include語句和require語句——可以使用FTP或HTTP協議,從遠程地方獲取數據。

編程員們常常忘了這一點,將用戶提供的數據傳送給這些函數時,沒有進行適當的輸入過濾,因而給代碼注入安全漏洞留下了隱患;赑HP的Web應用程序中存在的眾多代碼注入安全漏洞是由啟用allow_url_fopen和糟糕的輸入過濾共同引起的。編輯/etc/php.d/security.ini,執行以下指令:

allow_url_fopen=Off

出于安全原因,我還建議禁用allow_url_include:

allow_url_include=Off

第8個設置項:啟用SQL安全模式

編輯/etc/php.d/security.ini,執行以下指令:

sql.safe_mode=On

如果啟用,mysql_connect()和mysql_pconnect()就忽視傳送給它們的任何變量。請注意:你可能得對自己的代碼作一些更改。sql.safe_mode啟用后,第三方開源應用程序(如WorkdPress)及其他應用程序可能根本運行不了。我還建議你針對所有安裝的php 5.3.x關閉magic_quotes_gpc(http://php.net/manual/en/security.magicquotes.php),因為它的過濾并不有效、不是很可靠。mysql_escape_string()和自定義過濾函數能起到更好的作用(向Eric Hansen致謝,https://www.facebook.com/EricHansen.SFU):

magic_quotes_gpc=Off

第9個設置項:控制POST請求的大小

作為請求的一部分,客戶機(瀏覽器或用戶)需要將數據發送到Apache Web服務器時,比如上傳文件或提交填好的表單時,就要用到HTTP POST請求方法。攻擊者可能會企圖發送過大的POST請求,大量消耗你的系統資源。你可以限制PHP將處理的POST請求的最大大小。編輯/etc/php.d/security.ini,執行以下命令:

post_max_size=1K

1K設置了php應用程序允許的POST請求數據的最大大小。該設置還影響文件上傳。要上傳大容量文件,這個值必須大于upload_max_filesize。我還建議你限制使用Apache Web服務器的可用方法。編輯httpd.conf,執行針對文件根目錄/var/www/html的以下指令:

Order allow,deny
## 可在此添加配置的其余部分... ##

第10個設置項:資源控制(拒絕服務控制)

你可以設置每個php腳本的最長執行時間,以秒為單位。另一個建議的選項是設置每個腳本可能用于解析請求數據的最長時間,以及腳本可能耗用的最大內存數量。編輯/etc/php.d/security.ini,執行以下命令:

設置,以秒為單位

max_execution_time = 30

max_input_time = 30

memory_limit = 40M

第11個設置項:為PHP安裝Suhosin高級保護系統

來自Suhosin項目網頁(http://www.hardened-php.net/suhosin/):

Suhosin是一款高級的保護系統,面向安裝的PHP。它旨在保護服務器和用戶,遠離PHP應用程序和PHP核心中的已知缺陷和未知缺陷。Suhosin分兩個獨立部分,可以單獨使用,也可以組合使用。第一個部分是針對PHP核心的小補丁,實施了幾個低級防護措施,以防范緩沖器溢出或格式字符串安全漏洞;第二個部分是功能強大的PHP加載模塊,實施了其他所有的保護措施。

看看如何在Linux操作系統下安裝和配置suhosin(http://www.cyberciti.biz/faq/rhel-linux-install-suhosin-php-protection/)。

第12個設置項:禁用危險的PHP函數

PHP有許多函數,如果使用不當,它們可以用來闖入你的服務器。你可以使用disable_functions命令,在/etc/php.d/security.ini中禁用一系列函數:

disable_functions=exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

第13個設置項:PHP Fastcgi/CGI - cgi.force_redirect命令

PHP可與FastCGI協同工作。 Fascgi減少了Web服務器占用的內存資源,但是仍為你提供了整個PHP語言具有的速度和功能。你可以配置Apache2+PHP+FastCGI或cgi,如這里描述的那樣。配置命令cgi.force_redirect可以防止任何人使用http://www.cyberciti.biz/cgi-bin/php/hackerdir/backdoor.php這樣的地址,直接調用PHP。出于安全原因,應啟用cgi.force_redirect。編輯/etc/php.d/security.ini,執行以下命令:

出于安全原因,在典型的*Apache+PHP-CGI/FastCGI*環境中,啟用cgi.force_redirect

cgi.force_redirect=On

第14個設置項:PHP用戶和用戶組ID

mod_fastcgi是面向Apache Web服務器的cgi模塊。它可以連接至外部的FASTCGI服務器。你要確保PHP以非根目錄用戶的身份來運行。如果PHP以根目錄或100以下UID的身份來運行,它可以訪問及/或處理系統文件。你必須使用Apache的suEXEC或mod_suPHP,以非特權用戶的身份來執行PHP CGI。suEXEC功能讓Apache用戶們能夠以有別于調用Web服務器的用戶ID的用戶ID來運行CGI程序。在該示例中,我的php-cgi以phpcgi用戶的身份來運行,Apache以apache用戶的身份來運行:

#psaux |grepphp-cgi

示例輸出:

phpcgi   6012 0.0 0.4 225036 60140 ?    S  Nov22 0:12 /usr/bin/php-cgi
phpcgi   6054 0.0 0.5 229928 62820 ?    S  Nov22 0:11 /usr/bin/php-cgi
phpcgi   6055 0.1 0.4 224944 53260 ?    S  Nov22 0:18 /usr/bin/php-cgi
phpcgi   6085 0.0 0.4 224680 56948 ?    S  Nov22 0:11 /usr/bin/php-cgi
phpcgi   6103 0.0 0.4 224564 57956 ?    S  Nov22 0:11 /usr/bin/php-cgi
phpcgi   6815 0.4 0.5 228556 61220 ?    S  00:52 0:19 /usr/bin/php-cgi
phpcgi   6821 0.3 0.5 228008 61252 ?    S  00:55 0:12 /usr/bin/php-cgi
phpcgi   6823 0.3 0.4 225536 58536 ?    S  00:57 0:13 /usr/bin/php-cgi

你可以使用spawn-fcgi等工具,以phpcgi用戶的身份(先要為系統添加phpcgi用戶)來創建遠程和本地FastCGI進程:

# spawn-fcgi -a 127.0.0.1 -p 9000 -u phpcgi -g phpcgi -f /usr/bin/php-cgi

現在,你可以配置Apache、Lighttpd和Nginx web服務器了,使用在127.0.0.1ip地址處端口9000上運行的php FastCGI。

第15個設置項:限制PHP對文件系統的訪問

open_basedir命令設置了允許PHP使用fopen()和其他函數來訪問哪些目錄的文件。如果文件在open_basdir定義的路徑外面,PHP就拒絕打開該文件。你無法使用符號鏈接作為變通辦法。比如說,只允許訪問/var/www/html目錄、不允許訪問/var/www、/tmp或/etc目錄:

限制PHP進程訪問/var/www/html/等專門指定的目錄外面的文件

; Limits the PHP process from accessing files outside; of specifically designated directories suchas/var/www/html/open_basedir="/var/www/html/"; ------------------------------------; Multipledirsexample; open_basedir="/home/httpd/vhost/cyberciti.biz/html/:/home/httpd/vhost/nixcraft.com/html/:/home/httpd/vhost/theos.in/html/"; ------------------------------------

第16個設置項:會話路徑

PHP中的會話支持包括在隨后的訪問中保留某些數據的一種方法。這讓你能夠開發更加定制的應用程序,并加大網站的吸引力。該路徑在/etc/php.ini文件中定義,與某一個會話有關的所有數據都將存放在session.save_path選項指定的目錄下的文件中。在RHEL/CentOS/Fedora Linux下,默認路徑如下:

session.save_path="/var/lib/php/session"

設置用于上傳文件時存儲文件的臨時目錄

upload_tmp_dir="/var/lib/php/session"

確保路徑是outside /var/www/html,而且無法被其他任何系統用戶讀取或寫入:

#ls-Z /var/lib/php/

示例輸出:

drwxrwx---. root apache system_u:object_r:httpd_var_run_t:s0 session

注意:ls命令的-Z選項顯示了SELinux 安全上下文,比如文件模塊、用戶、用戶組、安全上下文和文件名稱。

第17個設置項:保持PHP、軟件和操作系統版本最新

打安全補丁是維護Linux、Apache、PHP和MySQL服務器的一個重要環節。應該使用以下其中任何一個工具(如果你通過軟件包管理器來安裝PHP),盡快檢查所有的PHP安全更新版本,并盡快打上:

#yumupdate

#apt-getupdate && apt-get upgrade

你可以配置紅帽/CentOS/Fedora Linux,以便通過電子郵件發送yum軟件包更新通知。另一個選項是通過cron job(計劃任務)打上所有的安全更新版。在Debian/Ubuntu Linux下,可以使用apticron來發送安全通知。

注意:經常訪問php.net(http://php.net/),尋找源代碼安裝的最新版本。

第18個設置項:限制文件和目錄訪問

確保你以Apache或www等非根用戶的身份來運行Apache。所有文件和目錄都應該歸非根用戶(或apache用戶)所有,放在/var/www/html下:

#chown-R apache:apache /var/www/html/

/var/www/html/是個子目錄,這是其他用戶可以修改的文件根目錄,因為根目錄從來不在那里執行任何文件,也不會在那里創建文件。

確保在/var/www/html/下,文件權限設成了0444(只讀):

#chmod-R 0444 /var/www/html/

確保在/var/www/html/下,所有目錄權限設成了0445:

#find/var/www/html/ -type d -print0 |xargs-0 -I {} chmod 0445 {}

關于設置合適文件權限的補充

chown和chmod命令確保:不管在什么情況下,文件根目錄或文件根目錄里面的文件都可以被Web服務器用戶apache寫入。請注意:你需要設置對你網站的開發模型最合理的權限,所以可以根據自身需要,隨意調整chown和chmod命令。在這個示例中,Apache服務器以apache用戶的身份來運行。這可以在你的httpd.conf文件中用User和Group命令來配置。apache用戶需要對文件根目錄下的所有內容享有讀取訪問權,但是不應該享有寫入訪問權。

確保httpd.conf有以下命令,實現限制性配置:

Options None

AllowOverride None

Order allow,deny

你只要在需要時才應該授予寫入訪問權。WordPress等一些Web應用程序及其他應用程序可能需要緩存目錄。你可以使用以下命令,授予寫入到緩沖目錄的訪問權:

# chmod a+w/var/www/html/blog/wp-content/cache

### block access to all ###

#echo'deny from all' > /var/www/html/blog/wp-content/cache/.htaccess

第19個設置項:寫保護Apache、PHP和MySQL配置文件

使用chattr命令來寫保護配置文件:

# chattr +i /etc/php.ini
# chattr +i /etc/php.d/*
# chattr +i /etc/my.ini
# chattr +i /etc/httpd/conf/httpd.conf
# chattr +i /etc/chattr

命令還可以寫保護/var/www/html目錄中的一個php文件或多個文件:

# chattr +i /var/www/html/file1.php
# chattr +i /var/www/html/

第20個設置項:使用Linux安全加載模塊(如SELinux)

Linux自帶各種安全補丁,可以用來防護配置不當或受到危及的服務器程序?赡艿脑,使用SELinux及其他Linux安全加載模塊,對網絡及其他程序實行限制。比如說,SELinux為Linux內核和Apache Web服務器提供了眾多安全策略。要列出所有的Apache SELinux保護變量,請輸入:

# getsebool -a | grep httpd

示例輸出:

allow_httpd_anon_write --> off
allow_httpd_mod_auth_ntlm_winbind --> off
allow_httpd_mod_auth_pam --> off
allow_httpd_sys_script_anon_write --> off
httpd_builtin_scripting --> on
httpd_can_check_spam --> off
httpd_can_network_connect --> off
httpd_can_network_connect_cobbler --> off
httpd_can_network_connect_db --> off
httpd_can_network_memcache --> off
httpd_can_network_relay --> off
httpd_can_sendmail --> off
httpd_dbus_avahi --> on
httpd_enable_cgi --> on
httpd_enable_ftp_server --> off
httpd_enable_homedirs --> off
httpd_execmem --> off
httpd_read_user_content --> off
httpd_setrlimit --> off
httpd_ssi_exec --> off
httpd_tmp_exec --> off
httpd_tty_comm --> on
httpd_unified --> on
httpd_use_cifs --> off
httpd_use_gpg --> off
httpd_use_nfs --> off

要禁用Apache cgi支持,請輸入:

# setsebool -P httpd_enable_cgi off

參閱紅帽SELinux指南(http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/index.html),即可了解更多信息。

第21個設置項:安裝Mod_security

ModSecurity是一個保護Web應用程序的開源入侵檢測和預防引擎。你在Linux下很容易安裝mod_security,安裝后就能保護基于Apache和PHP的應用程序,遠離XSS及其他各種攻擊:

##幾個實例##
#不允許打開/etc/中的文件
SecFilter /etc/
#阻止SQL注入攻擊
SecFilter "delete[[:space:]]+from"
SecFilter "select.+from"

第22個設置項:盡可能在chrootjail環境中運行Apache / PHP

將PHP及/或Apache放在chroot jail環境中可以盡量減小潛在的入侵事件造成的破壞,因為它將Web服務器隔離到文件系統的一小部分。你可以使用Apache自帶的那種傳統的chroot jail環境。不過建議使用FreeBSD jail、運用容器概念的XEN虛擬化、KVM虛擬化或OpenVZ虛擬化。

第23個設置項:使用防火墻限制出站連接

攻擊者會使用wget之類的工具,將文件本地下載到你的Web服務器上。你可以使用iptables阻止apache用戶的出站連接。ipt_owner模塊會試圖比對本地創建的數據包與數據包創建者的各個特點。它只有在OUTPUT鏈中才有效。在這個示例中,允許vivek用戶使用端口80連接外界(這適用于RHN或centos repo訪問)。

# /sbin/iptables -A OUTPUT -o eth0 -m owner --uid-owner vivek -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

下面是另一個示例,阻止apache用戶的所有出站連接(通向我們自己的smtp服務器的出站連接除外),以及垃圾郵件驗證API服務:

# ..../sbin/iptables --new-chain apache_user/sbin/iptables --append OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT/sbin/iptables --append OUTPUT -m owner --uid-owner apache -j apache_user# allow apache user to connec to our smtp server/sbin/iptables --append apache_user -p tcp --syn -d 192.168.1.100 --dport 25 -j RETURN# Allow apache user to connec to api server for spam validation/sbin/iptables --append apache_user -p tcp --syn -d 66.135.58.62 --dport 80 -j RETURN/sbin/iptables --append apache_user -p tcp --syn -d 66.135.58.61 --dport 80 -j RETURN/sbin/iptables --append apache_user -p tcp --syn -d 72.233.69.89 --dport 80 -j RETURN/sbin/iptables --append apache_user -p tcp --syn -d 72.233.69.88 --dport 80 -j RETURN########################### Addmorerules here ############################ No editing below# Drop everything for apache outgoing connection

# /sbin/iptables --append apache_user -jreject

第24個設置項:關注日志和審查

檢查apache日志文件:

#tail-f /var/log/httpd/error_log
# grep 'login.php' /var/log/httpd/error_log
#egrep-i "denied|error|warn" /var/log/httpd/error_log

檢查php日志文件:

# tail -f /var/log/httpd/php_scripts_error.log
# grep "...etc/passwd" /var/log/httpd/php_scripts_error.log

日志文件讓你對于服務器遭到什么攻擊有所了解,并讓你可以檢查必要的安全級別有沒有落實到位。提供了用于系統審查的auditd服務。啟用該服務,就可以審查SELinux事件、驗證事件、文件修改和帳戶修改等。我還建議使用標準的Linux系統監測工具(http://www.cyberciti.biz/tips/top-linux-monitoring-tools.html),用于監測你的Web服務器。

第25個設置項:按照系統或虛擬機實例來運行服務

對于安裝的大型系統來說,建議你借助不同的服務器運行數據庫、靜態內容和動態內容。

圖1:在不同的服務器上運行服務

在不同的服務器或虛擬機實例上運行不同的網絡服務。這限制了可能受到危及的其他服務的數量。比如說,如果攻擊者成功地利用了Apache flow等軟件的漏洞,就能訪問整個服務器,包括在同一臺服務器上運行的其他服務(比如MySQL和電子郵件服務等)。但是在上述例子中,按以下方式提供不同內容:

static.lan.cyberciti.biz:使用lighttpd或nginx服務器,用于提供js/css/images等靜態資產。

phpcgi1.lan.cyberciti.biz和phpcgi2.lan.cyberciti.biz:Apache web服務器,php用于生成動態內容。

mysql1.lan.cyberciti.biz:MySQL數據庫服務器。

mcache1.lan.cyberciti.biz:Memcached服務器是用于MySQL的速度非?斓木彺嫦到y。它使用libevent或epoll(Linux運行時環境),可以擴展至任何數量的打開的連接,并使用非阻塞的網絡輸入/輸出。

LB01:放在Apache Web服務器前面的nginx Web服務器和反向代理服務器。 從互聯網進入到其中一臺Web服務器的所有連接均通過nginx代理服務器來傳送,該代理服務器可以本身處理請求,也可以將請求全部或部分傳送到主Web服務器。LB01提供了簡單的負載均衡機制。

第26個設置項:其他工具

來自PHPIDS項目網頁(https://phpids.org/):

PHPIDS(PHP入侵檢測系統)是面向基于PHP的web應用程序的安全層,具有使用簡單、結構良好、運行快捷、技術先進等優點。IDS無法清除、凈化或過濾任何惡意輸入內容,僅僅識別攻擊者何時企圖闖入你的網站,安全按照你希望它采取的措施來采取相應措施。

你可以使用PHPIDS來檢測惡意用戶,并記錄檢測出來的任何攻擊,方便以后分析。請注意:我個人沒有用過這款工具。

來自PhpSecInfo項目網頁(http://phpsec.org/projects/phpsecinfo/index.html):

PhpSecInfo提供了與phpinfo()函數相對應的機制,可報告關于PHP環境的安全信息,并提供改進的建議。它無法取代安全開發技巧,也不進行任何一種代碼或應用程序審查,卻是多層次安全方案中的一個實用工具。

圖2:關于PHP應用程序的安全信息

參閱Linux安全加固要點(http://www.cyberciti.biz/tips/linux-security.html),減少系統面臨的攻擊途徑數量。

關于PHP后門的補充

你可能碰到過PHP腳本或所謂的常見后門,比如c99、c99madshell和r57等。后門php腳本其實就是一段隱藏的腳本,用于繞開所有的驗證機制,根據需要訪問你的服務器。攻擊者安裝它的目的是,訪問你的服務器,同時又企圖不被發現。誤用的PHP腳本(或其他任何CGI腳本)通常允許添加鉆Web瀏覽器中安全漏洞空子的代碼。攻擊者可以使用這種被鉆空子的安全漏洞,上傳后門外殼程序,從而讓攻擊者能夠獲得許多功能,比如:

下載文件

上傳文件

安裝rootkit

設置垃圾郵件服務器/中繼服務器

設置代理服務器,隱匿行蹤

控制服務器

控制數據庫服務器

竊取所有信息

刪除所有信息和數據庫

打開TCP/UDP端口及更多端口

要點:該如何找出PHP后門?

可以使用Unix/Linux grep命令,搜索c99或r57外殼:

# grep -iR 'c99' /var/www/html/
# grep -iR 'r57' /var/www/html/
# find /var/www/html/ -name \*.php -type f -print0 | xargs -0 grep c99
# grep -RPn "(passthru|shell_exec|system|base64_decode|fopen|fclose|eval)" /var/www/html/

您可能感興趣的文章:

  • php.ini 啟用disable_functions提高安全
  • php中安全模式safe_mode配置教程
  • PHP安全的URL字符串base64編碼和解碼
  • 理解php Hash函數,增強密碼安全
  • PHP防注入安全代碼
  • PHP 線程安全與非線程安全版本的區別深入解析
  • php的mkdir()函數創建文件夾比較安全的權限設置方法
  • PHP開發不能違背的安全規則 過濾用戶輸入
  • php中使用exec,system等函數調用系統命令的方法(不建議使用,可導致安全問題)
  • PHP更安全的密碼加密機制Bcrypt詳解
  • win2008 r2 服務器php+mysql+sqlserver2008運行環境配置(從安裝、優化、安全等)
  • PHP中字符安全過濾函數使用小結
  • php 安全過濾函數代碼
  • Windows下的PHP安裝文件線程安全和非線程安全的區別
  • PHP永久登錄、記住我功能實現方法和安全做法
  • PHP實現單例模式最安全的做法
  • PHP開發中常見的安全問題詳解和解決方法(如Sql注入、CSRF、Xss、CC等)
  • 簡單的方法讓你的后臺登錄更加安全(php中加session驗證)

相關文章

  • Linux下PHP+Apache的26個必知的安全設置

    Linux下PHP+Apache的26個必知的安全設置

    PHP是一種開源服務器端腳本語言,應用很廣泛。Apache web服務器提供了這種便利:通過HTTP或HTTPS協議,訪問文件和內容。配置不當的服務器端腳本語言會帶來各種各樣
    2020-01-12
  • tensorflow的計算圖總結

    tensorflow的計算圖總結

    計算圖 在 TensorFlow 中用計算圖來表示計算任務。 計算圖,是一種有向圖,用來定義計算的結構,實際上就是一系列的函數的組合。 用圖的方式,用戶通過用一些簡單
    2020-01-12
  • Python3.x+迅雷x 自動下載高分電影的實現方法

    Python3.x+迅雷x 自動下載高分電影的實現方法

    快要過年了,大家都在忙些什么呢?一到年底公司各種搶票,備年貨,被這過年的氣氛一烘,都歸心似箭,哪還有心思上班啊。歸心似箭=產出低下=一行代碼十個錯=無聊。于
    2020-01-12
  • 在微信小程序中渲染HTML內容3種解決方案及分析與問題解決

    在微信小程序中渲染HTML內容3種解決方案及分析與問題解決

    大部分Web應用的富文本內容都是以HTML字符串的形式存儲的,通過HTML文檔去展示HTML內容自然沒有問題。但是,在微信小程序(下文簡稱為「小程序」)中,應當如何渲
    2020-01-12
  • ES2020 新特性(種草)

    ES2020 新特性(種草)

    這幾年,Ecma TC39一年一次更新 ecmascript 規范標準,截止目前,以下特性已進入 finished 狀態,F在帶大家體驗種草 ES2020 新特性。 一:Promise.allSettled
    2020-01-12
  • Python 實現遞歸法解決迷宮問題的示例代碼

    Python 實現遞歸法解決迷宮問題的示例代碼

    迷宮問題 問題描述: 迷宮可用方陣 [m, n] 表示,0 表示可通過,1 表示不能通過。若要求左上角 (0, 0) 進入,設計算法尋求一條能從右下角 (m-1, n-1) 出去的路徑。
    2020-01-12
  • html2canvas屬性和使用方法以及如何使用html2canvas將HTML內容寫入Canvas生成圖片

    html2canvas屬性和使用方法以及如何使用html2canvas將HTML內容寫入Canvas生成圖片

    如何使用JS截取HTML頁面為圖片呢,下面為大家介紹一款JS截圖插件html2canvas.js html2canvas.js 能夠實現在用戶瀏覽器端直接對整個或部分頁面進行截屏。 html2can
    2020-01-12
  • golang并發編程的實現

    golang并發編程的實現

    go main函數的執行本身就是一個協程,當使用go關鍵字的時候,就會創建一個新的協程 channel channel 管道,用于在多個協程之間傳遞信號 無緩存管道 當對無
    2020-01-12
  • python opencv實現信用卡的數字識別

    python opencv實現信用卡的數字識別

    本項目利用python以及opencv實現信用卡的數字識別 前期準備 導入工具包 定義功能函數 模板圖像處理 讀取模板圖像 cv2.imread(img) 灰度化處理 cv2
    2020-01-12
  • 2019年度web前端面試題總結(主要為Vue面試題)

    2019年度web前端面試題總結(主要為Vue面試題)

    畢業之后就在一直合肥小公司工作,沒有老司機、沒有技術氛圍,在技術的道路上我只能獨自摸索。老板也只會畫餅充饑,前途一片迷?床坏饺魏蜗M。于是乎,我果斷辭
    2020-01-12

最新評論

双色球基本走势图200