笔记内容:

  • 11.28 限定某个目录禁止解析php

  • 11.29 限制user_agent

  • 11.30/11.31 php相关配置

笔记日期:


11.28 限定某个目录禁止解析php

限定某个目录禁止解析php,限制user_agent,php相关配置_第1张图片

如果我们的网站有一个目录,可以上传图片,可能保不准有些别有用心的人会通过一些手段,上传php文件到这个目录下。那么这个php文件就会被apache执行,如果这个php文件里写的是恶意代码,你的服务器自然就会遭到***。毕竟开放了这样一个权限,肯定会被人上传***文件,如果被夺取了你的服务器root权限就很危险了。

要禁止php解析,首先配置虚拟主机配置文件,加上以下内容:

       php_admin_flag engine off

       

       Order allow,deny

       Deny from all

       

限定某个目录禁止解析php,限制user_agent,php相关配置_第2张图片


修改完成并重新加载配置文件后,先创建一个目录,然后拷贝一个php文件过去:

限定某个目录禁止解析php,限制user_agent,php相关配置_第3张图片


接下来就可以进行测试了,状态码为403就没问题:

限定某个目录禁止解析php,限制user_agent,php相关配置_第4张图片

浏览器就会先显示Forbidden:

限定某个目录禁止解析php,限制user_agent,php相关配置_第5张图片


现在把FilesMatch那一行注释掉,看看是否会看到php文件的源代码:

限定某个目录禁止解析php,限制user_agent,php相关配置_第6张图片

2491

可以看到直接显示了我源代码,并没有进行解析。

如果是在浏览器中访问的话,就会直接下载了,因为无法解析:

2492

2493


常识:在服务器中存放静态文件的目录,99%是不允许存放php等文件的,所以不用担心禁止解析的问题。


11.29 限制user_agent

限定某个目录禁止解析php,限制user_agent,php相关配置_第7张图片

访问控制-user_agent的需求背景:比如说我们的网站,有可能会受到CC***,CC***的大概原理就是***的人,他通过一些手段,例如他通过发动肉鸡的方式,使用几千或上万台肉鸡同时访问一个网站。那么这个网站就会同时有几千上万个请求,一般普通的网站是承受不了这么大的并发量的,所以这个网站就会很容易就崩掉,这就是所谓的CC***。这种CC***是有一定的规律的,例如它们的-user_agent就是一致的,所以我们也可以以此来判定这是CC***。遇到这种-user_agent很规律或完全一致的请求,我们就可以通过限制-user_agent,来减轻服务器的压力。

同样的要限制-user_agent,首先配置虚拟主机配置文件,增加以下内容:

       RewriteEngine on

       RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]

       RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.* [NC]

       RewriteRule  .*  -  [F]

   

限定某个目录禁止解析php,限制user_agent,php相关配置_第8张图片


修改完成并重新加载配置文件后,就可以进行测试了,先用curl命令访问,状态码为403就没问题:

限定某个目录禁止解析php,限制user_agent,php相关配置_第9张图片


自定义-user_agent后再试一下,使用-A选项模拟-user_agent,状态码为200就没问题,因为配置文件里的限制条件里只限制了curl和baidu.com:

限定某个目录禁止解析php,限制user_agent,php相关配置_第10张图片

这时查看日志文件也可以查看到-user_agent的确是我们自定义的名称,所以仅仅只会匹配限制条件里定义的-user_agent:

限定某个目录禁止解析php,限制user_agent,php相关配置_第11张图片






11.30/11.31 php相关配

限定某个目录禁止解析php,限制user_agent,php相关配置_第12张图片

关于php配置文件位置的问题,这里要注意一点:有时候使用-i选项去找这个配置文件的话,可能找到的是与你浏览器上网站所使用的php.ini不是同一个,想要精确一点去找这个配置文件最好使用phpinfo去找。

例如111.com,我想找到这个网站所使用的php.ini文件在哪里,那就要在这个111.com的网站目录下创建一个phpinfo的页面。然后通过浏览器去访问,就可以看到这个php.ini文件在哪。

创建一个php文件:

2501

文件内容如下:

限定某个目录禁止解析php,限制user_agent,php相关配置_第13张图片

使用浏览器访问这个页面:

限定某个目录禁止解析php,限制user_agent,php相关配置_第14张图片

因为没有加载配置文件,所以得去php的源码包里拷贝一份这个配置文件,拷贝完之后还要重新加载Apache的配置文件:

cd /usr/local/src/php-7.1.6/

cp php.ini-development /usr/local/php7/etc/php.ini

/usr/local/apache2.4/bin/apachectl graceful

限定某个目录禁止解析php,限制user_agent,php相关配置_第15张图片

现在我们就可以打开php.ini文件进行一些配置了:

vim /usr/local/php7/etc/php.ini

简单介绍几种常用的配置:

1.配置disable_functions,可以禁止某些危险函数的解析。比如一句话***就用到了其中的eval函数,代码示例:

限定某个目录禁止解析php,限制user_agent,php相关配置_第16张图片

禁用掉eval函数的话,这种***就无法被解析了。

列举一些比较危险的函数:

eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close


配置disable_functions,这个属性默认是空的:

2506

现在我们把刚刚列举的那些危险的函数都配置进去,把它们都给禁掉:

限定某个目录禁止解析php,限制user_agent,php相关配置_第17张图片

在大多数的公司会在生产环境中把phpinfo给禁掉,因为怕有时候不小心将phpinfo页面上传到了线上去了。如果这个页面被外部的***访问到的话,就能看到你服务器上的一些目录。那么***获取到了这些信息后,就可以更容易的进行***。

所以为了安全起见也要把phpinfo给禁止掉:

限定某个目录禁止解析php,限制user_agent,php相关配置_第18张图片


禁止phpinfo后,测试一下看看能不能解析,显示如下内容就是这个函数已经被禁止解析了:

2509

2.date.timezone 的配置,配置date.timezone 就是定义一下时区,不然有时候会有一些警告信息。

例如我定义时区为上海:

限定某个目录禁止解析php,限制user_agent,php相关配置_第19张图片


3.日志相关的配置:

error_log, log_errors, display_errors, error_reporting

如果没有配置日志就会像刚才那样直接显示在浏览器上。

display_errors属性是用于定义是否显示日志信息在在浏览器上:

2511

直接显示在浏览器上会暴露目录,所以要把这个值改为Off:

2512


这时候再访问就不会显示日志信息了:

限定某个目录禁止解析php,限制user_agent,php相关配置_第20张图片

然后就是配置错误日志:

log_errors属性用于定义错误日志是否开启:

2514

error_log属性用于定义错误日志的存放路径:

2515

error_reporting属性是用于定义error_log的级别,如果定义的级别比较高的话,就只会记录比较严重的错误,警告之类的就不会记录。error_reporting属性默认为E_ALL级别,E_ALL就是把所有的错误都记录,级别比较低。在生产环境中,一般使用E_ALL & ~E_NOTICE级别。

配置完成后,重新加载Apache的配置文件,然后测试一下看看在tmp下是否会生成错误日志:

限定某个目录禁止解析php,限制user_agent,php相关配置_第21张图片

可以看到这个文件的属主和属组都是daemon:

限定某个目录禁止解析php,限制user_agent,php相关配置_第22张图片

daemon是httpd的属组,所以这个日志实际上是以http这个进程的身份生成的:

限定某个目录禁止解析php,限制user_agent,php相关配置_第23张图片

有时候这个日志定了路径却没有生成的话,就得查看一下是否是权限的问题,也可以自己事先在定义的路径下创建好日志文件,并定义权限为777。

再来模拟一个错误:

创建一个php文件:

vim /data/wwwroot/111.com/2.php

随便写些内容:

限定某个目录禁止解析php,限制user_agent,php相关配置_第24张图片

访问这个文件的话,状态码就会为500:

限定某个目录禁止解析php,限制user_agent,php相关配置_第25张图片


查看错误日志可以看到这个错误为error:

限定某个目录禁止解析php,限制user_agent,php相关配置_第26张图片


open_basedir是一个安全选项,如果你一台服务器上跑了n多个站点,保不准某个站点的代码有问题写得比较差漏洞比较多,所以如果这个站点被黑了,被人拿到了权限后继续***的话,可能会***到其他的站点,和俗话说的一颗老鼠屎坏了一锅粥的道理一样。但是这时候如果增加了open_basedir的话,那么就可以能黑不了其他网站,例如:A网站放在A目录下,B网站放在B目录下,然后给这两个目录做一个隔离,所以即使A目录被黑了,也黑不到B目录下,因为无法查看到B目录。

配置php.ini文件:

2522

我现在故意把目录写成1111.com,模拟一下这种情况:

2524


这时使用curl命令去访问就会出现500状态码:

限定某个目录禁止解析php,限制user_agent,php相关配置_第27张图片




查看日志文件可以知道,访问的文件并没有在允许的目录下:

限定某个目录禁止解析php,限制user_agent,php相关配置_第28张图片


现在把open_basedir改为111.com,再测试一下,这时就正常了:

限定某个目录禁止解析php,限制user_agent,php相关配置_第29张图片


但是配置php.ini的open_basedir并没有意义,因为这样的配置只能是配置全部站点的,因为所有的站点都放在一个目录下,不能针对单个站点去做,所以和没有配置没差别,例如只能这样配置,但是没有意义:

2528


想要针对单个站点去配置open_basedir的话,需要在apache的虚拟主机配置文件里面去配置,配置的语法如下:

php_admin_value open_basedir "/data/wwwroot/111.com:/tmp/"

限定某个目录禁止解析php,限制user_agent,php相关配置_第30张图片

我们可以在这个文件里针对不同的虚拟主机,配置不同的open_basedir。


apache开启压缩

http://ask.apelearn.com/question/5528


apache2.2到2.4配置文件变更

http://ask.apelearn.com/question/7292


apache options参

http://ask.apelearn.com/question/1051


apache禁止trace或track防止xss

http://ask.apelearn.com/question/1045


apache 配置https 支持ssl

http://ask.apelearn.com/question/1029